はじめに:サイバーセキュリティ企業へのハッキング主張
「Scattered Lapsus$ Hunters」と名乗るハッカー集団が、サイバーセキュリティ企業Resecurityのシステムを侵害し、内部データを窃取したと主張しています。しかし、Resecurity側はこれを否定し、攻撃者がアクセスしたのは、彼らの活動を監視するために意図的に仕掛けられたハニーポットであったと反論しています。
本件に関する当初の報道後、ShinyHuntersの広報担当者はBleepingComputerに対し、この活動には関与していないと述べています。ShinyHuntersはScattered Lapsus$ Huntersの一部であると常に主張してきましたが、今回の攻撃には関与していなかったことが確認されました。
ハッカー集団「Scattered Lapsus$ Hunters」の主張
ハッカー集団は本日、Telegram上で侵害の証拠とされるスクリーンショットを公開し、従業員データ、社内コミュニケーション、脅威インテリジェンスレポート、顧客情報などを窃取したと主張しました。彼らはTelegramに次のように投稿しています:
- 「REsecurityシステムへの完全なアクセスを獲得した」
- 「すべての内部チャットとログ」、「完全な従業員データ」、「脅威インテリジェンス関連レポート」、「詳細を含む完全な顧客リスト」を窃取した
公開されたスクリーンショットには、Resecurityの従業員とPastebin関係者間のMattermostコラボレーションインスタンスのやり取りが含まれているとされます。この攻撃は、Resecurityがベトナムの金融システムデータベースの販売に関して、ハッカー集団のソーシャルエンジニアリングを試みたことへの報復であると、彼らは主張しています。
Resecurityの反論:ハニーポット戦略の公開
Resecurityは、ハッカー集団の主張を全面的に否定しています。同社は、攻撃者がアクセスしたシステムは正規の生産インフラの一部ではなく、ハニーポットとして設計されたものであり、攻撃者を誘引し、その活動を監視するためのものだったと説明しています。
ResecurityがBleepingComputerに共有したレポートによると、同社は2025年11月21日に、公開されたシステムへの偵察活動を初めて検知しました。ResecurityのDFIR(Digital Forensics and Incident Response)チームは、初期の偵察段階で指標を特定し、エジプトやMullvad VPNサービスから発信されたIPアドレスを含む、複数のIPアドレスを記録しました。
これに対し、Resecurityは隔離された環境内に「ハニーポット」アカウントを配備し、攻撃者が偽の従業員、顧客、支払いデータを含むシステムにログインし、やり取りすることを許可しました。これにより、同社の研究者はリスクを冒すことなく、攻撃者の行動を監視・分析し、脅威インテリジェンスを収集することができました。
同社は、ハニーポットにStripeの公式API形式で生成された28,000件以上の合成消費者記録と190,000件以上の合成支払い取引記録を含む、現実世界のビジネスデータに酷似した合成データセットを投入したと述べています。
攻撃者の活動とResecurityの監視成果
Resecurityによると、攻撃者は12月にデータ流出の自動化を試み始め、住宅用プロキシIPアドレスを多数使用しながら、12月12日から12月24日の間に188,000件以上のリクエストを生成しました。この間、同社は攻撃者の戦術、技術、インフラに関するテレメトリを詳細に収集しました。
Resecurityは、プロキシ接続の失敗により、攻撃者が短期間ながら実際のIPアドレスを複数回露呈したと主張しており、この情報は法執行機関に報告済みであると述べています。さらに、同社は追加の偽データセットをハニーポットに加えることで攻撃者の行動を研究し、攻撃者のOPSEC(運用セキュリティ)のさらなる失敗を誘発しました。
最終的に、同社は住宅用プロキシを介した自動攻撃に使用されたサーバーを特定し、そのインテリジェンスも法執行機関と共有しました。Resecurityは、「利用可能なネットワークインテリジェンスとタイムスタンプを使用してアクターが特定された後、Resecurityのパートナーである外国の法執行機関が、脅威アクターに対する召喚状を要請した」と述べています。
今後の展開
本稿執筆時点では、ハッカー集団は追加の証拠を提示しておらず、新たなTelegram投稿で「Resecurityのダメージコントロールは素晴らしい。詳細は近日公開!」と述べるに留まっています。この事件は、サイバーセキュリティ企業とハッカー集団間の巧妙な情報戦の様相を呈しており、今後の進展が注目されます。