ネット情報によると脅威アクターのKaruHuntersがIIJ(インターネットイニシアティブジャパン)への侵害を主張しているということです。これに対してIIJは脅威アクターが示しているファイルについてIIJ以外の開発グループが作成した公開サーバのデータだとするX投稿を行っています。
「ソースコードリポジトリのデータが漏洩」
簡易投稿サイトXのHackmanacアカウントによると、脅威アクターのKaruHuntersがIIJへの侵害を主張しており、漏洩したデータにはAndroid開発およびマルチメディアライブラリに関連する多数のソースコードリポジトリのコレクションが含まれているということです。HackmanacのXアカウントはこの投稿について、Hackmanacのアナリストがウェブおよびダークウェブのソースから取得した公開情報にもとづいており、機密情報や独自データのダウンロード、複写、再配布は行っていないとし、Hackmanacは社会的チャンネルを通じて早期警告とサイバー状況を提供しているとしています。
KaruHuntersはデータ窃盗と恐喝を専門としている脅威グループまたは個人で、窃取したデータはダークウェブのフォーラムで販売されているようです。Karuhuntersの攻撃は精度が高いとのサイバーセキュリティ専門家の指摘もあるようです。直近では中国のIT企業、ファーウェイ・テクノロジーズのシステムに侵入しソースコードと内部開発ツールを窃取したと主張していることが報じられています。また、ウクライナのIT・通信プロバイダーやドイツ最大の大学からデータを窃取したとも主張しているようです。
IIJ「他の開発グループが作成した公開データ」
これに対してIIJは、Karuhuntersが犯行を主張している投稿に添付されているファイルはIIJが設置している公開ftpサーバにあるIIJ以外の開発グループが作成したファイルと同一だとする投稿をXに行っています。一方、IIJのSOCの10月のブログでは今年8月末頃からIIJお問い合わせメールアドレスに対して著作権侵害通知を装ったメールが送信されているとして注意喚起を発出しています。送信されてきたメールからダウンロードされるZIPファイルからRhadamanthys StealerやPXA Stealerへの感染が確認されたということです。
SentinelLABSによると、PXA Stealerを基盤とした大規模なインフォスティーラー攻撃キャンペーンが2024年後半から表面化しており、この脅威はベトナム語を話す攻撃者によって実行され、データを盗み出して販売しているということです。またTelegramベースの組織的サイバー犯罪マーケットプレイスとつながりをもっており、盗み出したデータは犯罪プラットフォームで収益化されて下流のサイバー犯罪者に売却され、下流のサイバー犯罪者は購入したデータを使って暗号通貨の窃盗や組織への侵入を行っているということです。
SentinelLABSが指摘するPXA Stealerを基盤とした大規模なインフォスティーラー攻撃者がIIJへの侵害を主張しているKaruHuntersと同一であるのか明らかではありませんが、ともにデータを窃取する恐喝型で、ダークウェブのフォーラムでデータを販売する点では同じです。
IIJは今年4月、IIJが法人向けに提供しているメールセキュリティサービス「IIJセキュアMXサービス」において顧客情報の一部が外部に漏洩したと発表、2024年8月3日以降に不正なアクセスを受け、不正なプログラムが実行されたことによりIIJセキュアMXサービスで送受信された電子メールの情報や認証情報が漏洩、被害を受けた顧客は132契約、メールアカウント数で31万1288件にのぼりメディアで広く報じられました。
【出典】
https://x.com/H4ckmanac/status/1985952532456235517?t=DGF_9Ai_GR4h7CotGodSIQ&s=03