Red Hatへの大規模データ侵害が発覚

サイバーセキュリティの世界に衝撃が走っています。「Crimson Collective」と名乗る恐喝グループが、Red Hat Consultingに対する大規模なデータ侵害の責任を主張しました。このグループは、当時Telegramのフォロワーがわずか22人であったにもかかわらず、急速にその悪名を轟かせ、セキュリティ専門家を驚かせました。Red Hatは同日中に侵害を認め、影響を受けた顧客への通知を開始しました。

Red Hat Consultingは、複雑な技術的課題を抱える大企業に専門的な技術サービスを提供しています。初期の証拠によると、攻撃者は顧客の文書、ソースコード、その他の機密資産を不正に持ち出したとされています。

「Crimson Collective」の正体とLAPSUS$との関連

セキュリティ研究者のブライアン・クレブス氏は、Scattered SpiderおよびLAPSUS$事件に関連して起訴された英国のティーンエイジャー、タルハ・ジュベア氏に結びつくTelegramハンドル「Miku」がCrimson Collectiveと関係していると指摘しました。ジュベア氏は現在、ロンドン交通局へのサイバー攻撃への関与の疑いで公判を待っています。

興味深いことに、Crimson Collectiveが最初にリークした被害者はClaroであり、これは2021年にLAPSUS$が標的とした通信会社と同じです。また、侵害のスクリーンショットには、2022年にLAPSUS$によって侵害されたVodafoneも含まれており、主要なサービスプロバイダーを標的とするパターンが示唆されています。

流出データの詳細と影響範囲

Crimson Collectiveが主張する侵害日は2025年9月13日です。この日、グループはLAPSUS$の特徴（意図的な誤字、HTMLコメント内の人種差別的な表現、ジョーク、さらにはポケモンの曲の埋め込みなど）を持つポータルを通じて証拠のリークを開始しました。最初のリークには、370,852のディレクトリと3,438,976のファイルを示すファイルツリーが含まれていました。

正当性を証明するため、AIR、AMEX_GBT、Atos_Group（NHS Scotland）、BOC、HSBC、Walmartの7つの組織に関するコンサルティングエンゲージメントレポート（CERs）のサンプルが公開されました。その後のリリースでは、2.2 GBのZIPファイルが提供され、3,200万以上のファイルからなる「前例のない」ファイルツリーが含まれていました。ディレクトリ構造の分析から、コンサルティングレポート、独自のコード、さまざまな内部資産を含む5,000社以上の企業顧客が影響を受けていることが示唆されています。ING銀行やデルタ航空の.pfx秘密証明書などの機密項目も流出ファイルに含まれており、高いリスク露出を明確に示しています。

影響を受けた企業への緊急勧告

影響を受けた組織は、流出したデータがすべて公開される可能性があると想定すべきです。以下の緊急措置が推奨されます。

• Red Hat Consultingサポートに緊急連絡し、盗まれたファイルのリストを入手する。
• 証明書と資格情報を直ちにローテーションする。
• セキュリティ設定を見直し、包括的な修復計画を適用する。
• 身代金の支払いは、さらなる攻撃を助長する可能性があるため推奨されない。
• 盗まれたデータの取引に関する継続的な監視を行う。

今後の課題と対策

Red Hatは、コンサルティング業務のセキュリティ対策を強化するよう圧力を受けています。一方、企業は内部統制とインシデント対応の準備を強化すべきです。継続的な最新情報については、ケビン・ボーモント氏のMastodonをフォローしてください。

---

元記事: https://gbhackers.com/red-hat-breach-impacts-5000-customers-data-at-risk/