August 23, 2024
CDKサイバー攻撃:将来の脅威の理解と防止
2024年6月、 CDK グローバル、著名な ディーラー管理ソフトウェアプロバイダー、苦しんだ ランサムウェア攻撃 それは広範囲にわたる影響を及ぼしました 自動車業界。この事件により、多くのディーラーの業務が中断され、多額の財政難が発生しました。 10億ドル以上の損失の見積もり、ミシガン州イーストランシングのコンサルティング会社であるアンダーソン・エコノミック・グループの見積もりによると。
自動車販売店へのサイバー攻撃は増加傾向にあり、近年報告されているインシデントは著しく増加しています。CDKが2023年に発表したレポートによると、 調査対象ディーラーの 17% サイバーインシデントの発生件数は、前年の15%から増加しました。
画像:Shutterstock.com
同様に、2023年7月から2024年6月の間に、 4,582件の既知のランサムウェア攻撃、マーキング 前年比で 33% 増加 前の期間と比較して。この記録的な急増は、2022年7月から2023年6月にかけて記録された過去最高の3,434件の攻撃を上回りました。
これらのサイバー犯罪者の数は増加しただけでなく、その戦術も増え、初期アクセスから暗号化までの時間が大幅に短縮されたことが示されました。現在行われています。 数週間ではなく数時間で完了。
この記事では、ダイロックスがこの攻撃の詳細を詳しく説明し、次のことが非常に重要であることを強調します。 強固なサイバーセキュリティ戦略 ますますデジタル化が進む自動車販売およびサービス環境において
CDK サイバー攻撃を理解する
CDKサイバー攻撃はどのようにして起こったのか?
2024年6月18日:
- CDK Globalはサイバー攻撃を受け、 状況を封じ込めるためにほとんどのシステムを停止しました。
- 北米全域の150,000を超える自動車ディーラー 日常業務に不可欠なシステム停止により、重大な混乱が発生しました。多くのディーラーは手作業によるプロセスに頼っており、これが効率と顧客サービスに影響しています。
- 一部のシステムはその日の遅くに復元されましたが、 2 回目の攻撃 別のシャットダウンを強制しました。
2024年6月21日:
- 東ヨーロッパに拠点を置いていると主張するハッキンググループが要求しました 数百万ドルの身代金。
- グループは次のように識別されました ブラックスーツは、被害者データの暗号化と流出、コンプライアンス違反の被害者向けの公開データ漏洩サイトのホスティングなど、以前の攻撃に関連したサイバー犯罪組織
- ブルームバーグ・ニュースが報じた あのCDKは身代金を支払う予定だった
2024年6月22日:
- CDK が始まりました 複数日にわたる修復プロセス。
2024年6月24日:
- CDK は、シャットダウンが継続することをクライアントに通知します 少なくとも6月末まで。
- 少数のディーラーグループ テスト用に正常にオンラインに戻されました。
2024年6月28日:
- CDKは引き続き ディーラーを段階的にオンラインに戻す2つの小グループと1つの大規模グループが復元されました。
2024年7月1日:
- CDK、すべてのディーラーへのサービスを回復する計画を発表 7 月 4 日までに。
2024年7月4日:
- CDKを使用しているすべてのディーラーはオンラインに戻る予定です。
CDKのコミュニケーション戦略
CDK は非公開で通信しました 透明でタイムリーな更新 顧客や利害関係者に。同社は、システムの状態とサービスを回復するために講じられている措置について定期的に最新情報を提供しました。
このアプローチは 顧客の期待に応えるのに不可欠 そして 信頼の維持 危機の間。一方、コミュニケーションを秘密にしておくことで、世間の注目を集める状況がエスカレートするのを防ぐことを目的としていました。
しかし、その余波は厳しすぎて、コミュニケーションだけでは解決できませんでした。
ディーラーと顧客への影響:
この攻撃は、ディーラーと顧客の両方に大きな影響を及ぼしました。
ディーラーは深刻な混乱を経験しました 販売、 金融、および カスタマーサービス業務。攻撃の結果、 システム停止 そして パフォーマンスの低下、在庫追跡、販売処理、サービススケジューリングなどの重要な機能を妨げています。
ソニック・オートモーティブ 前記 1週間にわたる停電の最中、自動車販売台数は減少しました ソフトウェアサービスプロバイダーのCDK Globalに対するサイバー攻撃を受けて、この事件が財務実績に「重大な影響を与える可能性はかなり高い」とのことです。
この状況の結果 CDKグローバルに対する複数の訴訟は、主に従業員または影響を受けたディーラーのサービスを利用した人々からの侵害が繰り返し発生した、会社の急いでシステム復旧を行ったことを批判しました。
攻撃後のCDKグローバルのFacebookでのクライアントの反応。出典: コンバージェンスネットワーク。
一方、顧客は、車両の購入、資金調達、タイムリーなサービスの提供が遅れたり困難になったりして、その影響を感じていました。その結果、次のような混乱が発生しました。 遅延サービス、 販売機会の喪失、そしてかなりのレベルの 欲求不満 顧客の中で。
長期的に見ると、データ侵害は深刻な懸念を引き起こしています データのプライバシーとセキュリティ、 機密性の高い顧客データを公開し、その結果 個人情報の盗難と詐欺。
へのダメージ 顧客の信頼 と 潜在的な悪影響 業界の専門家が求めているように、将来のビジネスには重要な意味があります 強固な緊急時対応計画 そして サイバーセキュリティの強化 将来の混乱を軽減するための対策。
技術的内訳:攻撃はどのようにして発生したのか?
脆弱性に関する具体的な技術的詳細は公開されていませんが、攻撃がハッカーがシステムを制御して重要なデータを暗号化することを可能にした弱点を悪用したことは明らかです。
初期アクセス
BlackSuitは次の組み合わせを採用したと思われます フィッシングとソフトウェアの脆弱性の悪用。
CDKの従業員を騙したフィッシングキャンペーン 認証情報の漏洩またはマルウェアのインストール。これは今でもネットワークセキュリティを危険にさらす最も一般的で効果的な方法です。
同時に、自動車販売店はCDK Globalのサービスに次の方法で接続します 常時接続の VPN、ローカルアプリケーションがプラットフォームとインターフェースできるようにします。
横方向の動き: ネットワーク内に入ると、攻撃者は横方向に移動しました。彼らは次のような手法を使用しました。 認証情報のダンピング (RAM から認証情報を盗む) そして悪用された 弱い権限 他のシステムや機密データにアクセスすることができます。
権限昇格: 攻撃者はより高いレベルの権限を取得すると、重要なシステムを制御して悪用する可能性があります パッチが適用されていないソフトウェアの脆弱性 または活用 管理者権限 攻撃をさらに拡大させるためです。
ペイロードデプロイ: 関係する最終段階 ランサムウェアの展開。ファイルは 暗号化されています これはCDKの業務を無力化し、CDKのシステムに依存するすべてのディーラーサービスに影響を及ぼしました。このとき、攻撃者は解読鍵の身代金を要求しました。
今後の攻撃の防止:
サイバー攻撃の巧妙化が進む中、ディーラーは機密データを保護し、顧客の信頼を維持するために、積極的に防御を強化する必要があります。
強力なサイバーセキュリティフレームワークの構築
これには確立が含まれます 明確な方針と手続き これらは定期的に見直され、更新されて対処されています 新たな脅威。包括的なフレームワークは役立つだけではありません 攻撃の防止 しかしまた保証します 迅速な回復 違反があった場合。
必要不可欠な技術的安全対策
これらはサイバーセキュリティフレームワークを強化するツールです。優先順位付け ファイアウォール、データ暗号化、多要素認証 不正アクセスやデータ盗難のリスクを大幅に減らすことができます。これらの保護手段は、サイバー脅威に対する防御の最前線として機能します。
従業員研修
以来、トレーニングは非常に重要です ヒューマンエラー 多くの場合、セキュリティ違反につながります。 定期的なトレーニングセッション サイバーセキュリティのベストプラクティスについて学ぶことで、従業員は潜在的な脅威を認識して回避できるようになります。 フィッシング認識 そして 安全なパスワード管理 また、すべての従業員が身につけるべき必須スキルでもあります。
インシデント対応計画
企業には、被害とダウンタイムを最小限に抑えるために取るべき手順を概説した計画が必要です。 明確で実践的な対応計画 軽微な後退と壊滅的な損失の分かれ目になることもある
ディーラー、顧客データベース、金融取引の広大なネットワークを持つ自動車業界は、サイバー犯罪者にとって有利な標的となっています。これらの対策を実施することで、ディーラーは業務を保護し、保有する顧客データの完全性を維持できる安全な環境を構築できます。
その他のランサムウェア事件
Nvidiaとラプサス$
2022年には、 Nvidia大手ゲームチップメーカーが、ランサムウェアグループとして知られる攻撃者がランサムウェア攻撃の被害に遭いました ラプス$、以下を含む機密データを盗んだ エヌビディアのソースコード そして 彼らの GPU についての詳細。
特に、盗まれたソースコードが含まれていました ハッシュレートリミッター (LHR)これにより、暗号通貨マイニングにおけるNvidiaのチップの効率が低下します。
ラプスドルのNvidiaへの身代金、テレグラム経由で公開。
Lapsus$は珍しい最終通告をした。Nvidiaはグラフィックカードに次のことを許可しなければならない 暗号通貨のマイニングをより速く (LHRを削除することで)さもないと、至高のソースコードがリリースされます。攻撃者はまた、Nvidia に次のことを要求しました。 GPUドライバーを完全にオープンソースにする。
Nvidiaは... によって報復されました ハッキングバック、彼らはLapsus$のコンピューターにランサムウェアをインストールしようとしましたが、彼らは データを取得できませんでした バックアップのせいです。
結局、Nvidiaはデータを非公開にするために、Lapsus$と和解しました。 仮想通貨の身代金の支払い そして GPU ドライバーをオープンソースとして公開することに同意。
ワナクライ
ワナクライ・アタック 2017年は、大きな影響を及ぼしたランサムウェア攻撃の有名な例です。影響を受けました 150か国の20万を超える組織病院、銀行、政府機関を含みます。
影響を受けるユーザーへのWannaCryの身代金メッセージ
ランサムウェアは 点滴器、暗号化、復号化、および通信用のコンポーネントが含まれています。さまざまな形式のファイル (Microsoft Office ファイル、MP3 など) を暗号化し、身代金要求通知を表示します。
という北朝鮮のハッカー集団によって広められた ラザログループ 経由で マイクロソフト・ウインドウズの実装における欠陥 サーバーメッセージブロック (SMB) プロトコルの 35万台を超えるデバイスが影響を受けました 4日以内に。
企業は重大な被害を受けました データロス何百ものレコードが侵害されました。経験豊富な病院 手術キャンセル 患者カルテが消去されたせいださらに憂慮すべきことは 救急車のルートが変更されたと伝えられています 攻撃は保存されている GPS 情報に影響を与え、生命を危険にさらす可能性があるためです。
フランスの研究者、Adrien Guinetは後に、マルウェアファイルからRSAキーを取得して攻撃の有効性を阻止する方法を発見しました。これをWindowsのパッチと組み合わせることで、WannaCryの拡散は始まって数日後に終息しました。
これらのインシデントは、ランサムウェア攻撃の複雑なダイナミクスと、企業がサイバー犯罪者に対処する際に直面するトレードオフを浮き彫りにしています。
結論
CDKのサイバー攻撃は、常に存在するサイバー脅威の状況を思い起こさせるものです。攻撃とその影響、予防策を理解することで、ディーラーは防御を強化し、レジリエンスを高めることができます。今すぐ行動を起こして、強固なサイバーセキュリティ戦略を構築し、将来の攻撃からビジネスを守りましょう。ディーラーと顧客データのセキュリティを確保するには、積極的なアプローチが不可欠であることを忘れないでください。
