タグ: オリンパス（企業）

日本の大手企業Olympus（オリンパス）に対する「進行中」のサイバー攻撃は、米国政府による制裁対象となったロシアのランサムウェアグループによって引き起こされたと、この事件を知る2人の人物が語った。

10月10日に始まったこの攻撃では、「Macaw」と呼ばれる新しいマルウェアの亜種が使用され、米国、カナダ、ラテンアメリカにあるオリンパスのシステムが暗号化されている。Macawは、マルウェア「WastedLocker」の亜種で、いずれも2019年に米財務省の制裁を受けたロシアを拠点とする犯罪グループ「Evil Corp」が作成したものだ。

関連記事
・オリンパスが米国での新たなサイバー攻撃を認める、ランサムウェア「BlackMatter」がEMEA地域のシステムを攻撃した数週間後に
・Garminがサービスダウンはランサムウェアによるものと認める（一部機能は未復旧）

オリンパスにとってこの数カ月で2度目のランサムウェア攻撃となった。9月にも、ランサムウェアグループ「BlackMatter」によって欧州、中東、アフリカのネットワークがオフラインになっていた（BlackMatterとEvil Corp.の関連性は不明）。

「オリンパスは先月BlackMatterの攻撃を受け、1週間ほど前にもMacawの攻撃を受けました」とセキュリティ会社Recorded Futureのシニア脅威アナリストであるAllan Liska（アラン・リスカ）氏はTechCrunchに話した。リスカ氏によると、Macawは、ハッキングされたコンピューターに、被害者からデータを盗んだと表明する身代金請求書を残すという。

オリンパスは10月19日の声明で「データ流出の可能性」を調査しているとした。これは「二重恐喝」と呼ばれるランサムウェア・グループの一般的な手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、ファイルを復号するために身代金を支払わなければ、ファイルをオンラインで公開すると脅す。

オリンパスの広報担当者Jennifer Bannan（ジェニファー・バナン）氏は、TechCrunchが10月20日に問い合わせた際、質問には答えず、同社が身代金を支払ったかどうかについても言及しなかった。

同社は「当社のシステム、顧客、その患者の安全のため、犯罪者とその行動についてはコメントしません。当社は、影響を受ける関係者に適切な通知を行うことを約束します」との声明を発表した。

財務省の制裁措置により、米国を拠点とする企業はファイルを取り戻すために身代金を支払うことが難しくなっている。これは、米国人が制裁対象の企業と取引することは「一般的に禁止」されているためだ。Evil Corpは、米国の制裁措置を回避するために、これまでに何度もマルウェアの名前を変えたり、修正したりしてきた。

ブルームバーグが10月20日に報じたところによると、先週、80以上の市場で185のテレビ局を所有または運営しているSinclair Broadcast Group（シンクレア・ブロードキャスト・グループ）に対してもMacawが使われ、広い範囲で混乱を引き起こした。Sinclairは10月18日の声明で、同社のネットワークからデータが盗まれたものの、どのような情報が盗まれたのか正確にはわからないと述べた。

Evil Corpは、2020年にランサムウェア攻撃を受けて約1週間サービスを停止したGarmin（ガーミン）や、保険大手のCNAにも攻撃を仕掛けた。

関連記事：ランサムウェア攻撃によってGarminのサービスが世界的に停止

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Zack Whittaker, Carly Page、翻訳：Nariko Mizoguchi）

日本の大手テクノロジー企業Olympus（オリンパス）は、先の週末にサイバー攻撃を受け、米国、カナダ、ラテンアメリカのITシステムを停止せざるを得なくなったことを認めた。

オリンパスはウェブサイト上の声明で「10月10日に検知されたサイバーセキュリティ事件の可能性を調査中」であり「現在、この問題を解決するために最優先で取り組んでいます」と述べている。

関連記事：オリンパスがランサムウェア「BlackMatter」の攻撃を受ける

「調査と封じ込めの一環として、影響を受けたシステムを停止し、関連する外部パートナーに報告しています。現在の調査結果によると、この問題はアメリカ大陸に限定されており、他の地域への影響は確認されていません」。

「当社は、この状況について適切な第三者と協力しており、今後もお客様やビジネスパートナーに安全にサービスを提供するために必要なあらゆる手段を講じていきます。お客様やビジネスパートナーを保護し、当社への信頼を維持することは当社の最優先事項です。当社の調査は継続中であり、透明性の高い情報開示に努め、新たな情報が得られた場合には最新情報を提供していきます」。

これは、2021年9月にオリンパスが欧州・中東・アフリカのネットワークへのサイバー攻撃を受けて発表した声明とほぼ同じ内容だ。

攻撃を受けた当時、オリンパスは「サイバーセキュリティ事件の可能性を調査中」とも述べている。この事件を知る人物がTechCrunchに語ったところによると、オリンパスはランサムウェアの攻撃から回復していたという。感染したシステムに残された身代金のメモは、ランサムウェア・アズ・ア・サービス（ransomware-as-a-service）グループ「BlackMatter」にも関連していた。

Emsisoftのランサムウェア専門家で脅威アナリストであるBrett Callow（ブレットキャロウ）氏は、今回の事件が週末に発生したことを受けてギャングがランサムウェアを展開するのは休日を含むことが多いため、繰り返し攻撃を受ける可能性が高まるという。「ランサムウェアだとしても、それがまたBlackMatterであるかどうかはわかりません。また、もしランサムウェアだとしたら、それがBlackMatterであるかどうかはわかりませんが、その可能性もありますし、EMEA地域への攻撃を行った組織が、今回は別のランサムウェアを使用した可能性もあります」。

オリンパスの広報担当者であるSusan Scerbo（スーザン・セルボ）氏からは、コメントを得られていない。オリンパスのセキュリティ事件についての詳細がわかり次第、更新する。

画像クレジット：Filip Radwanski / SOPA Images / LightRocket / Getty Images

［原文へ］

（文：Carly Page、翻訳：Katsuyuki Yasui）

Olympus（オリンパス）は米国時間9月12日に短い声明を発表し、「現在、サイバーセキュリティ事象の可能性を調査している」ことを伝えた。同社の欧州、中東およびアフリカのコンピューターネットワークが影響を受けた可能性がある。

「不審な行動を検出した後、当社は科学捜査専門家を含む特殊対応チームを直ちに招集し、現在問題解決を最優先に作業しているところです。調査の一環として、影響を受けたシステム上でのデータ転送を中止し、関係する社外パートナーに通知しました」と声明で語っている。

しかし、本件に詳しい人物によると、オリンパスは米国時間9月8日の早朝に始まったランサムウェア攻撃から回復しいるところだという。その人物は12日にオリンパスが事件を認める以前に詳細詳細を提供した。

攻撃を受けたコンピューターに残された身代金要求文は、ランサムウェアグループのBlackMatter（ブラックマター）を名乗っている。「あなたのネットワークは暗号化され、現在操作不能状態です」と書かれていた。「身代金を支払えば、復号するためのプログラムを提供します」。脅迫状には、BlackMatterが被害者との連絡に使用していることが知られているTor Browser（トーア・ブラウザー）経由でのみアクセスできるサイトのウェブアドレスも書かれている。

関連記事：
・ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない
・「黒人のハーバード」と呼ばれる名門ハワード大学がランサムウェア攻撃を受け授業を中止
・ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」
・独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

ランサムウェアの専門家でEmisisoft（エミシソフト）の脅威アナリストであるBrett Callow（ブレット・キャロー）氏は、脅迫状に書かれたサイトはBlackMatterグループと繋がっているとTechCrunchに伝えた。

BlackMatterは「サービスとしてのランサムウェア」のグループで、いくつかのランサムウェアグループの後継として組織された。DarkSide（ダークサイド）は、よく知られたColonial Pipeline（コロニアル・パイプライン）に対するランサムウェア攻撃後にこの犯罪世界を去り、ロシアのハッカーグループREvil（レビル）は、数百社の企業にランサムウェアをばらまいたKaseya（カセヤ）への攻撃の後、しばらく沈黙を続けている。どちらの攻撃も米国政府の目に留まり、政府は重要インフラストラクチャーが再び攻撃された時には行動を起こすことを約束した。

BlackMatterのようなグループは、攻撃を行う仲間たちに自分たちのインフラストラクチャーを貸与して、手に入れた身代金の一部を受け取る。Emsisoftは、DarksideとBlackMatterの間には技術的なつながりと共通するコードがあることも発見した。

BlackMatterが6月に登場して以来、EmsisoftはBlackMatterの仕業と思われるランサムウエア攻撃を40件以上記録しているが、被害者の総数はそれをはるかに上回っている可能性が高い。

BlackMatterのようなランサムウエア・グループは、まず会社のネットワークからデータを盗み出し、それを暗号化した後、身代金を払わなければファイルをオンラインで公開すると脅すのが典型的なやり方だ。被害者を公開し、盗んだデータを売るためのBlackMatterに関係する別のサイトには、本稿公開時点でまだオリンパスの名前は載っていない。

日本に本社を置くオリンパスは、医療、生命科学産業向けの光学およびデジタル複写製品を製造している。最近まで同社は、デジタルカメラやその他の電子製品を作っていたが、1月に不調のカメラ部門を売却した。

オリンパスは、「現在問題の範囲を特定しているところで、新しい情報が入り次第最新情報を提供します」と語った。

同社の広報担当者、Christian Pott（クリスチャン・ポット）氏は、本誌のコメントを求めるメールとテキストメッセージに返信していない。

画像クレジット：Jerome Favre / Bloomberg / Getty Images

[原文へ]

（文：Zack Whittaker、翻訳：Nob Takahashi / facebook ）