ラックは2022年1月14日、元社員が社内ルールに違反して行ったデータのバックアップから過去の業務データが社外に流出したことを明らかにした。第三者の通報で発覚したもので、同社は調査対応などを既に完了し、情報のさらなる拡散が無いことを確認して公表したとしている。
同社によると、この事案は2021年10月31日にフリマ―ケット(フリマ)サイトでHDDを購入したという匿名の人物からの通報で発覚した。購入したHDDを使用できず、HDD復元ツールを使用したところラックの業務データが見つかり、同社に連絡したという。ラックは、通報者から提供された一部データのスクリーンキャプチャーの画像を元に調査し、2021年11月2日に業務データが流出したと判断、同5日に緊急対策本部を設置して対応を本格化させた。
同者は、通報者とHDDの譲渡などを交渉しつつ、流出した業務データに関係する人物の調査を進め、同30日に退職済みの元社員を特定。元社員がHDDをフリマサイトで販売した事実を確認したという。12月17日に通報者からHDDを回収し、同時に通報者がHDD復元時に発生した流出情報のデータを全て削除、拡散しない旨の契約を、弁護士を通じて取り交わしたとしている。
ラックが通報者から回収したHDDは、復元ツールによって簡易フォーマットされた状態だったといい、同社ではフォレンジック作業でHDDに格納されていた業務データを復元。復元されたデータは、2003~2017年に作成されたビジネス文書が2069件(うち取引先のものは628件)、個人情報(社員および取引先社員の会社名、部署名、氏名または姓、メールアドレス、会社の電話番号)が最大1000件だった。影響する可能性のある取引先には11月8日から報告対応を行い、調査とデータ復元で影響が判明した取引先とは、12月20日から2022年1月12日にかけて確認作業を実施した。
同社が元社員に聞き取りをしたところ、元社員は業務PCを入れ替えた際に、PCの業務データを社内ルールで禁止されていたクラウドストレージサービスの「Dropbox」にバックアップしたという。元社員は複数の機器でDropbox上のデータを同期できるようにしていたとのこと。そのうちの1つとして自宅でMacを使用しており、同期していたデータがMacに標準搭載のバックアップソフト「Time Machine」によりMacのHDDにバックアップデータとしてコピーされてしまったという。
その後、元社員はこのHDDをほとんど使用しなかったため、データ消去ツールでデータを消去し、フリマサイトで販売したという。しかし、データが適切に消去されていなかったと見られ、HDDの購入者が使用した復旧ツールで業務データが復元されてしまったとしている。
調査で元社員が業務PCの入れ替え時以外に、社内ルールに違反してクラウドストレージサービスにデータをバックアップしていた事実は確認されなかったとし、元社員の行為が悪意ではなく不注意で発生した可能性があるという。なお、当時はルールで禁止している業務データのコピーを技術的に防止する対策が不十分だったといい、その後、本事案とは別に、社内ネットワークからDropboxへのアクセスを禁止する技術的な講じているという。
同社は、調査で元社員の所有する別の機器に流出した業務データが残存していないことを確認し、元社員とは過去に業務で知り得た情報を退職時の誓約書に基づいて外部に一切明らかにしないことを確認したとする。通報者から回収したHDDと記録されていた情報は、この事案の対応が全て完了した後に普及できないよう完全に破壊するとしている。
公表について同社は、「事態を厳粛に受け止め、社外への情報流出を防止するために、業務データの複製の制限と監視の技術的対策の強化、社員の異動や退職時などの機器の回収や情報廃棄など社内プロセスの強化により再発防止を図ってまいります」とコメントしている。
2021年第4四半期において、サイバー犯罪者が高度なフィッシング技術を使用して認証情報を盗んだりマルウェアを展開したりする際に、最も頻繁に模倣されるブランドとして、世界的な物流・流通企業であるDHLが長らく君臨してきたマイクロソフトの座を明け渡すことになりました。DHLを装ったフィッシング詐欺は、前四半期の9%から23%に増加しました。一方、マイクロソフトのブランドは、第3四半期の29%に対し、第4四半期は20%にとどまっています。フェデックスも2021年第4四半期に初めてトップ10に登場しましたが、これは間違いなく、パンデミックが重要な懸念事項として残る中、脅威者が祝祭シーズンを前にして脆弱なオンライン買い物客をターゲットにしようとした結果でしょう。
2021年第4四半期レポートでも、フィッシング詐欺におけるソーシャルメディアブランドの模倣が続いており、WhatsAppは、標的となったトップブランドのグローバルリストでDHL、マイクロソフトに次ぐ3位にランクインしています。Facebookが所有するこのソーシャルメッセージアプリは、6位から3位に順位を上げ、全世界のフィッシング詐欺の11%を占めています。
ブランドフィッシングは、有名ブランドの公式サイトと類似したドメイン名やURL、ウェブページのデザインを用いて、そのブランドを模倣しようとする攻撃です。偽サイトへのリンクは、電子メールやテキストメッセージでターゲットとなる個人に送信されたり、ユーザーがウェブ閲覧中にリダイレクトされたり、不正なモバイルアプリケーションから起動されたりすることがあります。偽のウェブサイトには、ユーザーの認証情報、支払い情報、その他の個人情報を盗むことを目的としたフォームが含まれていることがよくあります。
以下は、ブランドフィッシングの試行における総合的な出現率でランキングされたトップブランドです。
PayPalフィッシングメールの事例
2021年11月の営業日に、PayPalから送信されたとされる、ユーザーのクレジット情報を盗み出そうとする悪質なフィッシングメールに気づきました。このメール(下図)は、PayPal Serviceという詐称されたアドレスから送信されたものです。
"service@ec2-18-156-114-201[.]eu-central-1[.]compute[.]amazonaws[.]com" は実際には "admin_emotion_dev@emotionstudios[.]rocks" から送信されており、詐称されたメールタイトル「【警告】あなたの PayPal 口座を確認します (Case ID #XX XXXXXXXX) 」が含まれていて、被害者は悪質なリンクをクリックするよう圧力をかけられる可能性があります。
"https://serviiceds[.]ritaspizzaportsmouth[.]com/llpy/” を使用しているこのサイトは、外観に若干の違いはあるものの、実際のサイトと同じように見えるPayPalの不正ログインページ(下図)にユーザーをリダイレクトさせます。悪意のあるリンク先では、ユーザーはPayPalのアカウント情報を入力する必要がありました。
Fedexフィッシングメールの事例
2021年12月、Fedexのブランドを利用し、ユーザーのマシンにマルウェアSnakeKeyloggerをダウンロードさせようとする悪質なフィッシングメールが確認されました。support@fedex[.]comというなりすましアドレスから送信されたこのメール(下図参照)には、「Bill of Lading-PL/CI/BL-Documents arrival」という件名が記載されています。内容は、RAR アーカイブファイル "shipment docu..rar" のダウンロードを求めるもので、このファイルには、システムを SnakeKeylogger に感染させ、ユーザーの認証情報を盗む可能性のある悪質な実行可能ファイルが含まれています。
DHL フィッシングメール - クレデンシャル盗難の例
このフィッシングメール(下図)では、ユーザーのメールアドレスとパスワードを盗み出そうとしていることがわかります。このメールは、DHLカスタマーサポート(info@emmc[.]ir)の偽装メールアドレスから送信され、「DHL Shipment Notification : xxxxxxxxxx」という件名が記載されています。
「21年12月15日の配達不可について」 と、攻撃者は、被害者が悪意のあるリンクをクリックするよう誘導します。
(http://reg[.]chaindaohang[.]com/wp-content/uploads/2021/07/dhl/index[.]php?i&0=vegenat@vegenat[.]es) は、実際のウェブサイトのように見える、不正なDHLホームページへユーザーを誘導します(下図参照)。不正なリンク先では、ユーザーは、電子メールとパスワードの入力を促されます。
