英 通信企業 Coltへのサイバー攻撃でランサムウェア グループ WarLockが関与か

セキュリティニュース

投稿日時: 更新日時:

英 通信企業 Coltへのサイバー攻撃でランサムウェア グループ WarLockが関与か

ロンドン拠点の通信事業者 Colt Technology Services は、2025年8月に発生した社内システムへのサイバーインシデントを受け、顧客向け支援系の一部サービスを意図的に停止して対応していると明らかにしました。

影響を受けているのは Colt OnlineVoice API プラットフォームなどで、復旧に向け 24 時間体制で作業を進めています。

Coltで発生したサイバーインシデントの概要

ロンドン拠点の通信事業者 Colt Technology Services は、今週検知した社内システムでのサイバーインシデントを受け、Colt OnlineVoice API など一部の支援系サービスを予防的にオフラインにして対応していると公表しました。

復旧作業は24時間体制で進めており、サポートは当面、電話とメールで継続するとのことです。自動監視の一部が使えないため、応答が通常より遅れる場合があると説明しています。なお、同社は「事象は顧客インフラとは分離した内部系で発生した」としています。

公式発表の時系列

  • 8月14日 17:30(BST):社内システムでのサイバーインシデントを確認し、保護措置として一部システムを予防停止したとうかがえます。関係当局への通知も実施したとしています。

  • 8月15日(BST):復旧作業を継続しつつ、Colt Online/Voice API は引き続き停止した状態であると案内しています。ネットワーク監視はより手動寄りの運用で継続中と説明しています。

  • 8月16日〜18日(BST):一部支援系は意図的にオフラインを継続し、復旧に全力で取り組んでいる旨を更新しています。最新情報は同社サイトで順次告知するとしています。

ランサムウェア グループ WarLockが関与か

セキュリティ研究者の Kevin Beaumont 氏(ハンドル名 GossiTheDogは、今回の事案について次のように指摘しています。

まず、Colt Technology Services はWarlock(WarLock)ランサムウェアグループから少なくとも1週間以上にわたり恐喝を受けているとし、同社は公表内容を抑制している可能性があると述べています。侵入経路については、sharehelp.colt.net を足掛かりに CVE-2025-53770 が悪用された可能性が高いと見ていると説明しています。

また、攻撃者は数百GB規模の顧客データや社内ドキュメントを持ち出したとしており、約40万件のファイル名リストがロシア語圏のハッキングフォーラムで公開されたと主張しています。

Beaumont 氏は、このファイル名群の真正性を独自に確認したとしており、内容には顧客向け資料や従業員の人事評価文書といった機微情報が含まれると示唆しています。さらに、ファイル名ツリーのミラー(転載)が複数出回っており、関係組織が自社のリスク把握に利用できる状況にあるとも述べています。

加えて、同氏はWarlock側のポータル上にColtの記載があること、フォーラム投稿の内容がFAQにも反映され「データは選択的に公開する」との文言が確認できるとしています。

実際、セキュリティ対策LabでWarLockのリークサイトを確認したところ、同社へのサイバー攻撃を主張していましたがサンプルデータなどはまだ未公開であるため、実際にWarLockが攻撃したかは不明です。

上記はあくまで第三者研究者による主張であり、Colt側の公式な技術検証や確証は現時点で示されていません。今後、同社や当局の発表により内容が更新・修正される可能性がある点にご留意ください。