ダークサイトやダークネットを監視しているDarkTracerのツイッター投稿によりますと、Marketoギャングが被害者リストに富士通をアナウンスしたということです。どういうことなのでしょうか?
闇の入札機能付きマーケットプレイス
Marketoはダークネット上で盗難データの売買を仲介する闇のマーケットプレイスのようです。BleepingComputerなどによると、Marketoは今年4月に脅威アクターによって立ち上げられました。扱っているのは犯罪行為により漏えいして流出したデータです。Marketoには入札機能があるようで、いわゆるオークションによって漏えいデータが売買されるようです。ランサムウェアの攻撃者が窃取したデータを公開して被害者に身代金の支払いを迫る、いわゆる暴露サイトと呼ばれているサイトとはやや性格が異なるようです。よってMarketoが被害者リストとして富士通をアナウンスしたというDarkTracerの投稿は、流出した富士通関連のデータがMarketoの入札の俎上にのったことを意味するものと思われます。
BleepingComputerによると、Marketoの運営者はMarketoについて「売るための情報をもっている人たちのためのマーケットプレイスであって、私たちは企業をハッキングしていません」と話しており、ランサムウェアの攻撃者とは関係がないと主張しているようです。ただし、被害企業は漏えいしたデータを回収したいと考えるはずですから、実質的にMarketoは被害企業を脅し、データが高値で買い取られることを期待していると言えます。
「ハック後にオンラインで漏洩したプロジェクトに関する情報」
DarkTracerのツイッター投稿に添付されているMarketoの画像には富士通に関する説明とともに対象データについて、「ハック後にオンラインで漏洩したプロジェクトに関する情報を含む顧客のデータや企業情報、予算データ、レポート、その他の企業文書」などと記載されています。これらのデータが真に富士通から漏えいしたデータであるのかどうか確認できませんが、富士通では今年5月にプロジェクト情報共有ツールProjectWEBへの不正アクセスが発覚、8月11日に同社が発表したプレスリリースによりますと、ProjectWEB に保存されていた129の顧客のデータやプロジェクトに関するデータが不正に閲覧またはダウンロードされていたということです。また、不正アクセスは第三者が正規のIDとパスワードを使用し、正常認証および正常通信により行われました。
富士通は正当な認証で第三者がログインできた理由について、「本ツールの何らかの脆弱性を悪用したものである可能性が高いと考えている」としていますが、認証情報を窃取するマルウェアが安値で販売されており、窃取した認証情報が売買されている実態があることを踏まえると、ProjectWEBの認証情報が出回っている可能性もまったく否定されない気がします。ただし、今回、Marketoで売買の対象となった富士通のデータなるものが、ProjectWEBから漏えいしたものであるのかどうかは現状不明です。
スポーツ用品メーカーのプーマも
DarkTracerのツイッター投稿によりますと、ドイツを拠点とするスポーツ用品メーカー、プーマも最近、Marketoのデータ売買の対象となったようです。cybersecurity360というイタリアのサイト記事によると、窃取された1GBのデータがオークションにかけられ、154人を超えるサイバー犯罪者が関心を示したということです。記事によると、Marketoは攻撃を専門とするサイバー犯罪組織とは異なるアプローチをしている犯罪組織で、盗難データに関心のあるすべての者に開かれたオークションによる購入システムをつくり、企業を恐喝して窃取されたデータを売るモデルを構築しているようです。この記事によると、Marketoでオークションにかけられたプーマのデータ漏えいは、直接、パートナーシップを結んでいる、または最近締結したサードパーティ企業である外部サプライヤーに起因する可能性があるようです。
■出典
https://securityaffairs.co/wordpress/119405/cyber-crime/marketo-marketplace.html
https://pr.fujitsu.com/jp/news/2021/08/11.html
https://www.cybersecurity360.it/nuove-minacce/attacco-a-puma-su-marketo-1-gb-di-dati-allasta/