トヨタがランサムウェアグループ「Medusa」の攻撃を受けデータ漏えいしたことを認める

世界有数の自動車メーカーであるトヨタグループの金融事業を統括するトヨタファイナンシャルサービスが、ランサムウェアグループ「Medusa」による攻撃を受け、ヨーロッパとアフリカの一部のシステムで不正アクセスが検出されたことを認めました。日本の組織や企業がランサムウェア攻撃を受ける事例は増えつつあります。

Toyota confirms breach after Medusa ransomware threatens to leak data
https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-medusa-ransomware-threatens-to-leak-data/

Toyota recovering from cyberattack on its financial services division
https://therecord.media/toyota-cyberattack-financial-services-divison

Medusa ransomware gang claims data breach of Toyota Financial Services in Germany - Cyber Daily
https://www.cyberdaily.au/security/9832-medusa-ransomware-gang-claims-data-breach-of-toyota-financial-services-in-germany

トヨタファイナンシャルサービスはトヨタが自動車を販売する市場の90％で金融サービスを提供する世界的な企業です。

現地時間で2023年11月16日の早朝、ランサムウェアグループの「Medusa」がダークウェブ上にある同グループによるサイバー攻撃を受けた被害者リストを更新し、トヨタファイナンシャルサービスを追加しました。Medusaはトヨタファイナンシャルサービスから盗んだデータを人質に取り、800万ドル(約12億円)の身代金を要求しています。Medusaはトヨタファイナンシャルサービスに対して10日間の身代金支払い期間を設けており、1万ドル(約150万円)で支払い期限を1日延長することができるオプションも提供しているそうです。

Medusaはトヨタファイナンシャルサービスからデータを盗み出したことを証明するために、同社の財務書類、スプレッドシート、購入請求書、ハッシュされたアカウントのパスワード、平文のままのユーザーIDとパスワード、契約書、パスポートのスキャン、内部組織図、財務実績レポート、従業員のメールアドレスなどのサンプルデータを公開しています。また、Medusaはトヨタファイナンシャルサービスから盗み出したデータのファイルツリー構造を含むテキストファイルも公開しました。

なお、公開された文書の大部分がドイツ語であることから、ハッカーが中央ヨーロッパでトヨタの事業にサービスを提供するシステムにアクセスしたことがうかがえます。

セキュリティメディアのBleepingComputerがランサムウェア攻撃についてトヨタにコメントを求めたところ、広報担当者から「トヨタファイナンシャルサービスのヨーロッパおよびアフリカは、最近限られた数の拠点上のシステムで不正アクセスを確認しました。我々はこの不正行為を調査し、リスクを軽減するために特定のシステムをオフラインにし、法執行機関との協力を開始しています。現時点では、この事案はヨーロッパとアフリカのトヨタファイナンシャルサービスに限定されます」という回答が得られています。なお、ランサムウェア攻撃の影響を受けたシステムの状況について、広報担当者は「すでにシステムを正常に動作させるため、復帰作業が進行中です」と述べました。

なお、セキュリティアナリストのKevin Beaumont氏は、トヨタファイナンシャルサービスのドイツオフィスにはインターネットに公開されたCitrix Gatewayエンドポイントがあり、2023年8月以来更新されておらず、重大な脆弱(ぜいじゃく)性であるCitrix Bleedに対して脆弱なままであると指摘しています。