インフォスティーラーが「鍵束」を盗む──Hellcatの世界規模Jira攻撃
ランサムウェアグループ「Hellcat」が、インフォスティーラーで窃取したJira認証情報を悪用し、世界規模でハッキング攻撃を展開しています。スイスのAscom社では約44GBものデータが流出しました。Jiraには開発情報から顧客データまで集約されており、侵害されれば事業停止や取引先への影響は避けられません。従来のフィッシングや脆弱性攻撃とは異なる新たな侵入手法として、経営層を含めた緊急対応が求められています。
Hellcatの攻撃手法と被害の実態
BleepingComputerの報道によると、Hellcatランサムウェアグループは独自の「署名的手法」を確立しています。その手口は、まずインフォスティーラーと呼ばれるマルウェアに感染した端末から、保存されているJiraの認証情報を収集します。次に、その認証情報を使って企業のJiraシステムに正規ユーザーとしてログインし、内部情報を窃取するというものです。
今回の被害企業であるスイスのAscom社では、チケットシステムが侵害され、ソースコード、プロジェクト詳細、請求書、機密文書など約44GBものデータが窃取されました。Hellcatはこれまでにも、フランスの電機大手、スペインの大手通信事業者、英国の自動車メーカーなど、グローバル企業を次々と標的にしてきました。
特に注目すべきは、ある自動車メーカーの事例です。韓国の電機メーカー従業員の認証情報が悪用され、侵害が発生しました。さらに衝撃的なのは、その認証情報が数年前のインフォスティーラー感染時に窃取されたものが、いまだに有効なまま残っていたという事実です。これは認証情報漏えい後のローテーション管理がいかに重要かを示す典型的な事例といえます。
なぜJiraが狙われるのか
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
JiraをはじめとするAtlassian製品は、エンタープライズにおけるプロジェクト管理の中枢として機能しています。開発チームのソースコードレビュー、認証キーの管理、IT計画の策定、顧客情報の共有、社内の意思決定プロセスなど、企業活動のあらゆる情報がJiraに集約されています。つまり、Jiraへのアクセス権を得ることは、企業の「情報金庫」の鍵を手に入れることと同義なのです。
従来のランサムウェア攻撃は、フィッシングメールや脆弱性の悪用が主な侵入経路でした。しかしHellcatの手法は、過去にインフォスティーラーに感染した端末から「既に窃取済みの認証情報」を使うという点で、攻撃の起点が根本的に異なります。インフォスティーラー感染と実際の侵害との間に時間差があるため、被害企業は自社が標的になっていることに気づきにくいという特徴があります。
認証情報漏えいリスクに備える──御社が今すぐ取るべき5つの対策
御社が危険な状態かどうかは、3つの観点で確認できます。JiraなどAtlassian製品にMFAを設定していない、過去にマルウェア感染の疑いがあった端末がある、認証情報を1年以上変更していない──いずれかに該当すれば、早急な対応が必要です。
まず最優先で取り組むべきは、Jiraをはじめとするプロジェクト管理ツールへのMFA必須化です。認証情報が流出していたとしても、MFAが有効であれば不正ログインを防ぐことができます。特に管理者アカウントについては、即座にMFAを設定してください。
次に重要なのが、インフォスティーラー感染を検出するためのEDR(Endpoint Detection and Response)の導入・強化です。感染端末を早期に発見し、認証情報が窃取される前に対処することが被害防止につながります。
三つ目として、全認証情報の定期的なローテーションを実施してください。特にサードパーティからのアクセスに使用している認証情報は優先的に変更が必要です。数年前の認証情報がそのまま有効だった事例を教訓とすべきです。
四つ目は、Atlassian製品のアクセスログを常時監視する体制の構築です。不審なログイン試行や通常とは異なるアクセスパターンを検知できる仕組みを整えることで、侵害の早期発見が可能になります。
最後に、従業員のセキュリティ意識向上も欠かせません。インフォスティーラーの感染経路となる不審なソフトウェアのダウンロードや、信頼性の低いサイトへのアクセスを控えるよう、継続的な教育が求められます。
まとめ
Hellcatランサムウェアによる世界規模のJira攻撃は、認証情報管理の重要性を改めて浮き彫りにしました。インフォスティーラーで窃取された認証情報が数年後に悪用されるという事実は、すべての企業にとって警鐘です。MFA必須化、EDR強化、認証情報のローテーション、ログ監視体制の構築を、今すぐ開始してください。
セキュリティ対策の見直しや体制構築にお悩みの方は、180社以上の支援実績を持つGXOにご相談ください。ご相談いただければ、Jiraをはじめとするプロジェクト管理ツールの設定診断、認証情報の棚卸し、優先対策の整理をお手伝いいたします。SIEM/SOAR導入からSOC運用、インシデント対応まで、御社のセキュリティ課題を一気通貫で支援いたします。
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
