ヤマハ株式会社(浜松市)のプレスリリースによると米国子会社のヤマハ・コーポレーション・オブ・アメリカでランサムウェア(身代金要求型ウイルス)感染があり、これを受けて同社グループ全拠点のネットワークセキュリティについて調査をしたところ、新たな不正アクセスを確認したということです。
グループ全拠点調査で発覚、ともに同じ時期
ヤマハのプレスリリースによると、米国子会社のヤマハ・コーポレーション・オブ・アメリカで社内ネットワークへの第三者による不正アクセスがあり情報が漏洩したことが今年6月15日に判明しました。不正アクセスによりランサムウェアが仕掛けられ、取引先に関する情報等が漏えいした可能性があるということです。
これを受けて同社がグループ全拠点のネットワークセキュリティについて調査を行ったところ、新たにカナダの販売子会社であるヤマハ・カナダ・ミュージックでもアメリカ子会社への不正アクセスと同じ時期に第三者による不正アクセスを受けており、現地の従業員や直営音楽教室、取引先の個人情報が窃取されていたことが確認されたということです。
ヤマハ・カナダ・ミュージックによると、同社では攻撃を封じ込めるための措置を迅速に導入し、外部専門家とITチームが協力して重大な損害やネットワークへのマルウェアの侵入を防止したとしつつ、影響を受けた個人に通知をして潜在的な危害の危険にさらされている人々には信用監視サービスを提供しているということです。その上で、ネットワーク防御を強化し、今後のセキュリティ対策を確実にするために断固とした措置を講じたとしています。
BlackByteとAkiraか?
ヤマハはカナダ販売子会社への攻撃については不正アクセスとしか明らかにしていませんが、サイバーセキュリティアナリスト兼セキュリティ研究者のドミニク・アルヴィエリ氏は7月21日のツイッター投稿で「Akiraランサムウェアがヤマハ・ミュージック・カナダを投稿」とツイートしていて、Akiraランサムウェアのサイトにヤマハ・ミュージック・カナダが投稿されたと明らかにしています。また同氏は今年6月15日には「アメリカのヤマハ・コーポレーションがBlack Byteにより投稿されました」とツイートしています。BlackByteは2021年、Akiraは今年出現した新しいランサムウェアです。
ヤマハ・コーポレーション・オブ・アメリカとヤマハ・カナダ・ミュージックは同じ時期に不正アクセスを受け、ヤマハ・コーポレーション・オブ・アメリカはランサムウェアBlackByteのサイトに、ヤマハ・ミュージック・カナダはランサムウェアAkiraのサイトに名前が出ているようなのですが、これをどう捉えるべきでしょうか? 別グループによってランサムウェア攻撃を受けて、それぞれのランサムウェアのサイトに名前があがったとも考えられますが、The Recordの記事によると被害企業の二重投稿が増えており、その背景として複数の異なる攻撃者のために活動している「関連会社」の存在があるようです。
アフィリエイターが複数のランサムサイトに投稿?
RaaS(Ransomware as a Service)の場合、実際の攻撃はアフィリエイターなどと呼ばれている攻撃者によって行われており、アフィリエイターは成功報酬を得ることで成立しています。そのためアフィリエイターが複数のランサムウェアを使っている実態があるようであり、また、1つの標的に対して複数のランサムウェアサイトを使って脅迫に及ぶケースもあるようです。ヤマハのケースがこのような実態を反映したものなのか詳細は不明ですが、ランサムウェアの「胴元」とも言えるグループと実際に攻撃を行っているグループとは決して同一ではないということです。
なお、ヤマハでは国内拠点15カ所、海外拠点40カ所のネットワークについて調査を行い、ヤマハ・コーポレーション・オブ・アメリカとヤマハ・カナダ・ミュージック以外の拠点では不正アクセスの被害はなかったとしています。
■出典
https://www.yamaha.com/ja/news_release/2023/23072003/
https://ca.yamaha.com/en/news_events/2023/0720_cyber_security.html
https://therecord.media/yamaha-confirms-cyberattack-after-multiple-ransomware-gangs-claim