サウジアラムコのデータ流出、盗まれた1TBのデータが販売される / Saudi Aramco data breach sees 1 TB stolen data for sale(転載)



攻撃者は、サウジアラムコが所有する1TBのプロプライエタリなデータを盗み出し、ダークネット上で売りに出しています。

サウジアラムコとして知られるサウジアラビアの石油会社は、世界最大級の石油・天然ガスの公営企業です。

この石油会社は、66,000人以上の従業員を擁し、約2,300億ドルの年間収益を上げています。

脅威の行為者は、サウジアラムコのデータを500万ドルという交渉可能な価格から提供しています。

サウジアラムコは、このデータインシデントを第三者の契約者の仕業としており、このインシデントがアラムコの業務に影響を与えていないと伝えています。

ネットワーク侵入に利用された "ゼロデイの悪用


2021年7月、ZeroXと呼ばれる脅威アクターグループが、サウジアラムコが所有する1TBのプロプライエタリなデータを売りに出しています。

ZeroXは、このデータは2020年のある時点で、アラムコの「ネットワークとそのサーバー」をハッキングして盗まれたものだと主張しています。

そのため、このダンプに含まれるファイルは2020年と同じくらい最近のもので、1993年にさかのぼるものもあるという。

どのような方法でシステムにアクセスしたのかという質問を受けた同グループは、脆弱性については明確に説明せず、"ゼロデイ・エクスプロイト "と呼んでいます。

購入希望者の関心を引くために、2021年6月、アラムコ社の設計図とPIIを編集した専有文書の少量のサンプルセットが、データ漏洩マーケットプレイスのフォーラムに初めて投稿された。


しかし、最初の投稿の時点で、.onionのリークサイトには、662時間、つまり約28日後に売却と交渉が始まるというカウントダウンタイマーが設定されていました。

ZeroXは、「662時間」という選択は意図的なものであり、サウジアラムコが解くべき「パズル」であると語っていますが、その正確な理由は不明のままです。

このグループによると、1TBのダンプには、ヤンブ、ジャザン、ジェッダ、ラス・タヌラ、リヤド、ダーランなど、サウジアラムコの複数のサウジアラビアの都市にある製油所に関する文書が含まれているとのことです。

そして、このデータの一部には、以下のものが含まれているという。

  1. 14,254人の従業員の全情報:氏名、写真、パスポートコピー、電子メール、電話番号、滞在許可証番号、役職、ID番号、家族情報など。

  2. 電気/電力、建築、エンジニアリング、土木、建設管理、環境、機械、船舶、通信などに関連する/含むシステムのプロジェクト仕様書。

  3. 内部分析レポート、契約書、手紙、価格表など

  4. IPアドレス、Scadaポイント、Wi-Fiアクセスポイント、IPカメラ、IoTデバイスをマッピングしたネットワークレイアウト。

  5. 場所の地図と正確な座標。

  6. アラムコの顧客リスト、請求書や契約書など。
ZeroXがリークサイトで公開しているサンプルは、個人を特定できる情報(PII)が再編集されており、1GBのサンプルだけでも、モネロ(XMR)として支払われる2,000米ドルです。

しかし、この脅威行為者は、確認のため、最近の修正されていない文書をいくつか提供しました。

1TBのダンプ全体の価格は500万米ドルに設定されていますが、この金額は交渉可能だと脅迫者は言っています。

また、1回限りの独占販売(1TBのダンプを完全に入手し、ZeroX側で完全に消去することを要求する)を希望する場合は、5,000万米ドルという破格の金額を支払うことになります。

ZeroX社は、これまでに5人のバイヤーと売却交渉を行ってきたことを明かしています。

ランサムウェアや恐喝事件ではありません。


インターネット上では、今回の事件を「ランサムウェア攻撃」とする主張する意見が見受けられますが、これは違います。

サウジアラムコは、今回のデータ流出は、アラムコのシステムが直接悪用されたのではなく、第三者である契約企業で発生したと述べています。

"アラムコは最近、第三者の請負業者が保有していた限られた量の企業データが間接的に公開されたことに気づきました。"

アラムコの広報担当者は、「データの公開が当社の業務に影響を与えていないことを確認しており、当社は引き続き強固なサイバーセキュリティ態勢を維持している」と述べています。

今回の事件では、サウジアラムコ社に連絡を取り、情報漏えいの事実を伝えようとしましたが、連絡はなく、ネットワークにアクセスした後に恐喝を試みようともしなかったことから、上記のタイマーの目的には疑問が残ります。

このカウントダウンタイマーは、購入希望者をおびき寄せ、最初の話題性を高めるために設置されたものと思われます。

2012年、サウジアラムコのシステムに重大なデータ侵害が発生し、3万台以上のコンピュータのハードディスクが消去されました。

イランとの関係が指摘されているShamoonウイルスによるサイバー戦争です。

最近では、コロニアル・パイプラインや米国最大のプロパンガス供給会社であるアメリガスなど、ミッションクリティカルなインフラが攻撃されたことで、これらの施設におけるサイバーセキュリティの取り組みを強化する必要性が指摘されています。