10月10日には、攻撃を行った「アンダーグラウンド」 ransomware グループがこの攻撃を主張し、機密文書や財務データ、プロジェクト情報、従業員のデータを開示すると脅迫していました。カシオはすぐにアンダーグラウンドが従業員、パートナー、および顧客の個人データを盗んだことを確認しましたが、影響を受けた人数は発表しませんでした。調査が完了した現在、カシオはデータ侵害の範囲についての詳細を提供できる立場にあります。

同社の最新の発表によると、流出したデータには影響を受けた個人に関する詳細も含まれており、特定された影響を受けた個人にはカシオから個別に通知が行われる予定です。なお、一部の従業員は ransonware 攻撃に関連すると思われる迷惑メールを受信していますが、彼ら、パートナー、顧客に対する二次的な被害は現時点では確認されていないとカシオは報告しています。

さらに、カシオは、有害な ransonware アンダーグラウンドによって顧客データやクレジットカード情報は流出しなかったと引き続き強調しており、顧客情報を保持したデータベースには今回の事件が影響していなかったことも明らかにされています。また、同社はサイバー犯罪者との交渉を行っていないことを強調しています。「法律執行機関、外部法律顧問およびセキュリティ専門家と相談した結果、カシオはunauthorized access を実行した ransomware グループからの不当な要求には応じていません」とカシオは説明しています。しかし、影響を受けたサービスについては、ほとんどが通常の運用状態に戻っているものの、一部のサービスはまだ復旧していないとのことです。他方で、カシオの CASIO ID および ClassPad.net プラットフォームは ransomware 攻撃の影響を受けていないとされていますが、これらのサービスも2024年10月に別の侵害を受けたとのことです。

他にも、影響を受ける可能性のある拡張機能には、Internxt VPN、VPNCity、Uvoice、ParrotTalksなどが含まれるという。Cyberhavenは、クリスマスイブの午後8時32分（ET）に、悪意のあるコードを含むCyberhavenデータ損失防止拡張機能のアップデート（バージョン24.10.4）をハッカーが送信したと述べている。Cyberhavenは、12月25日の午後6時54分（ET）にこのコードを発見し、1時間以内に削除したが、コードは12月25日の午後9時50分（ET）まで活動していた。なお、同社は安全なバージョンを含む24.10.5のアップデートをリリースしたと伝えている。

ドライバーはカーネルレベルで動作できるため、オペレーティングシステムの重要な部分にアクセスでき、マルウェアはプロセスを終了させることが可能です。サイバーセキュリティ企業Trellixの研究者が最近発見した攻撃では、古いアンチルートキットドライバーの脆弱性を利用した「Bring Your Own Vulnerable Driver（BYOVD）」手法が利用されています。具体的には、kill-floor.exeというファイル名のマルウェアがntfs.binという脆弱なドライバーをWindowsのデフォルトユーザーフォルダーにドロップしていました。

その後、マルウェアはService Control（sc.exe）を使用して‘aswArPot.sys’というサービスを作成し、ドライバーを登録します。続いて、142件のセキュリティツールに関連するプロセスのリストを使用して、システム上のアクティブなプロセスのスナップショットをチェックします。Trellixの研究者トリシャーン・カルラ氏によると、一致が見つかると、「マルウェアはインストールされたAvastドライバーを参照するためのハンドルを作成します」とのことです。

次に、‘DeviceIoControl’ APIを利用して、必要なIOCTLコマンドを発行し、プロセスを終了させます。上記のスクリーンショットに示されているように、このマルウェアはMcAfee、Symantec（Broadcom）、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET、BlackBerryなど、さまざまなセキュリティソリューションからのプロセスを標的にしています。セキュリティが無効化された状態で、マルウェアはユーザーに通知することなく悪質な活動を行うことができます。

このドライバーとその手法は、2022年初めにTrend Microの研究者によって、AvosLockerランサムウェア攻撃の調査中に観察されました。2021年12月に、Stroz Friedbergのインシデントレスポンスサービスチームは、キューバランサムウェアがAvastのアンチルートキットカーネルドライバーの機能を悪用して、被害者のシステム上のセキュリティソリューションを無効化するスクリプトを利用していることを発見しました。また、同時期にSentinelLabsの研究者は、2016年から存在していた高危険度の脆弱性（CVE-2022-26522およびCVE-2022-26523）を発見し、これらを悪用することでセキュリティ製品の無効化を可能にしていました。これら2つの問題は2021年12月にAvastに報告され、同社はセキュリティアップデートによって静かに対処しました。

脆弱なドライバーに依存する攻撃から保護するためには、Trellixが推奨するように、シグネチャやハッシュに基づいてコンポーネントを特定してブロックできるルールを使用することが可能です。マイクロソフトもまた、主要なWindowsリリースごとに更新される脆弱なドライバーブロックリストポリシーファイルなどの解決策を提供しています。Windows 11 2022以降、すべてのデバイスでこのリストがデフォルトでアクティブになっています。

以下が私が受け取ったメッセージです。「侵入されてから2週間が経過しても、IA（インターネットアーカイブ）は露出したAPIキーの更新を行っていないのはがっかりです。」これは、2018年以降にinfo@archive.orgに送信された80万件以上のサポートチケットにアクセスするための権限を持つZendeskトークンを含んでいます。一般的な質問をしていた場合や、自分のサイトのWayback Machineからの削除を依頼していた場合、あなたのデータは現在、何者かの手の中にあります。私でなければ、他の誰かのものになるのです。

彼らが早急に対処してくれることを願います。

「The Verge」は、インターネットアーカイブの連絡先番号に留守番電話を残し、さらなる情報を求めました。インターネットアーカイブは攻撃を受けた後、徐々にサービスを再開しており、Wayback Machineと呼ばれるウェブサイトのアーカイブなどのサービスを再開しています。しかし、書籍、ソフトウェア、画像、ビデオ、オーディオ、さらにはアルバ国のデジタルアーカイブを含む膨大なデータの在庫は依然としてアクセスできません。

アーカイブチームは現在、「時差を超えて24時間体制で」サイトのサービスを復旧させる作業に取り組んでいると、創設者のブリュースター・ケールが10月17日のブログ投稿で述べています。サイトは「今後数日以内に」より多くのサービスを再開すると期待しており、最初は読み取り専用モードでの提供になるとのことです。完全復旧には時間がかかるとのことです。

サイトが攻撃を受けている理由については依然として不明であり、ケールは「なぜそんなことをするのかはわからない」と語っています。

ケールは「データは安全です。サービスは調査と強化のためにオフラインです。申し訳ありませんが、必要な措置です。スタッフは懸命に働いています。推定再開期間は数日、週単位ではありません」とツイートしている。

今週早々には、あるハッカーからのポップアップメッセージがアーカイブの「壊滅的なセキュリティ違反」を主張したが、『Have I Been Pwned』の創設者トロイ・ハントが、その盗まれたデータを含むファイルを受け取ったことを確認した。彼のサイトに登録しているユーザーは、自身の情報が含まれている場合にアラートを受け取ることができる。