セキュリティチームメンバーの解雇を要求? 「テレグラムにGoogleのCEO宛て脅迫文」情報

2025年9月7日
ニュース
Google, Salesforce, Scattered Lapsus$ Hunters, Scattered Spider, UNC6040
0件

　イギリスのサイバーセキュリティジャーナリスト、Waqas氏の9月4日付けの記事によると、テレグラムチャンネルにGoogleのCEOに宛てたメッセージが投稿されGoogleのセキュリティチームのメンバー2名の解雇を求め、拒否した場合、Googleの内部データベースの情報を漏洩すると脅迫しているということです。

UNC6040などの調査の中止も求める

　記事によるとこの脅迫はScattered Lapsus$ Huntersと名乗るグループによって行われており、このグループはScattered Spider、Lapsus$、ShinyHuntersの戦術とブランディングを組み合わせた連合体とみられているようです。この脅迫はGoogleの脅威インテリジェンスグループに所属する個人とGoogleがMandiantを買収した後にGoogleに入社したサイバーセキュリティ研究者の計2名を名指しして解雇を求めているということです。また、UNC3944、UNC5537、UNC6040、UNC6240、UNC6395に関する調査の中止を命じているようです。そして2名の解雇と調査の中止にGoogleが応じない場合はGoogleのデータを漏洩すると脅迫しているということです。

　Googleの脅威インテリジェンスグループは6月5日付けのブログ記事でSalesforceへの攻撃について明らかにし、攻撃者がボイスフィッシングで従業員を騙しSalesforce内のデータにアクセスした手口について詳しく解説、この脅威をUNC6040として追跡していることを明らかにしました。この攻撃によりアディダスやカンタス航空、シャネルなど多くの企業が被害を受けていることが明らかになる中、Googleの脅威インテリジェンスグループは8月5日にブログ記事をアップデートし、Googleの企業向けSalesforceインスタンスの1つがUNC6040によるSalesforce侵害の影響を受けたことを明らかにしました。影響を受けたインスタンスは中小企業の連絡先情報と関連メモを保存するために使用されていたもので、これらデータはアクセスを遮断する前のわずかな時間に脅威アクターに取得されたとしつつ、取得されたデータの大部分はすでに公開されているビジネス情報だということでした。Salesforceを狙った攻撃についてはShinyHuntersと名乗るグループが攻撃を主張しており、ShinyHuntersはGoogleのCEO宛て脅迫文をテレグラムに投稿したとされるScattered Lapsus$ Huntersに関連する脅威グループとみられています。

英高級車ジャガーのメーカーが攻撃され生産中断

　また、これとは別にインドのタタ・モーターズ傘下のイギリスの高級車メーカー、ジャガーランドローバー・オートモーティブPLC(JLR)が8月31日にサイバー攻撃を受けてシステムがシャットダウン、ジャガーの生産が停止しているということです。JLRは9月2日に声明を出してサイバーインシデントの影響を受けていると認めるとともにシステムをシャットダウンしていることを明らかにしました。9月2日時点で顧客データの窃取は確認されていないようですが、販売活動と生産活動が深刻な状態にあると表明しています。JLRの主要な生産工場はイギリスのソリハルですが、中国やインド、ブラジルにも製造拠点がありグローバルに展開しているようです。現在、グローバルシステムが停止していて生産と車両の新規登録が行われていない状況だということです。

　この攻撃に関しScattered Spiderを名乗るハッカーがSAP NetWeaverの脆弱性を悪用してJLRのシステムを停止させたと主張しており、テレグラムにログを公開しているということです。SAP NetWeaverの脆弱性というのは今年4月に公開されたCVE-2025-31324と思われ、この脆弱性は米CISAの既知の脆弱性カタログであるKEVに追加されています。ジャガーへの攻撃を表明しているScattered SpiderもまたScattered Lapsus$ Huntersと関連しているとみられている脅威グループです。

　Salesforceへの侵害手口をGoogleが明らかにした後、この侵害の影響をGoogle自身が受けていることが明らかになり、この攻撃を主張している脅威グループとさらに最近起きたイギリスの高級自動車メーカーへの攻撃を主張している脅威グループの2つの脅威グループと関連するとみられる脅威グループがGoogle脅威インテリジェンスチームの個人名を名指しして解雇と調査の中止を求めてGoogleのCEOをテレグラムの投稿で脅しているということなのですが、これが事実であれば従来のサイバー攻撃とはかなり様相が異なる状況です。ちなみにGoogleは今のところ、この件に関し特に対応はしていないようです。

■出典

https://hackread.com/scattered-lapsus-hunters-google-fire-experts-data-leak/?s=03

https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion?hl=en

https://cybernews.com/security/jaguar-jlr-cyberattack-claimed-by-salesforce-hackers-scattered-spider-shiny-hunters/?utm_source=cn_twitter&utm_medium=social&utm_campaign=cybernews&utm_content=tweet&source=cn_twitter&medium=social&campaign=cybernews&content=tweet

https://www.trendmicro.com/ja_jp/research/25/g/sap-vulnerability-fix.html