Bleeping Computerは11月16日(米国時間)、「Toyota confirms breach after Medusa ransomware threatens to leak data」において、トヨタファイナンシャルサービスがランサムウェア「Medusa」の攻撃を受け、ヨーロッパとアフリカの一部システムに不正アクセスが検出されたと報じた。
Bleeping Computerによると、これまでのところトヨタファイナンシャルサービスはデータ漏洩を確認していないとしているが、Medusaはデータを窃取したとして800万ドルの身代金を要求したとしている。また、Medusaは10日間の身代金の支払い猶予期間に加え、期限を延長するオプションを1万ドル/日で提供したという。
Medusaはデータ窃取を証明するため、財務書類、スプレッドシート、請求書、ハッシュ化されたパスワード、平文のユーザーIDとパスワード、契約書、パスポートのスキャン、内部組織図、財務実績レポート、スタッフの電子メールアドレスなどを含むサンプルデータを公開したとしている。これら文書の大部分はドイツ語とされることから、中央ヨーロッパの事業で使用されているシステムが侵害されたものとみられている。
Bleeping Computerは日本国内のトヨタ自動車にコメントを求め、同社の広報担当者から回答を得たとしている。得られた回答によると、ヨーロッパおよびアフリカの一部拠点のシステムに不正アクセスがあり、リスクを軽減するために特定のシステムをオフラインにして法執行機関と協力を開始したという。また、この影響はヨーロッパとアフリカに限定されるとしている。
サイバーセキュリティに携わるKevin Beaumont氏がX(旧Twitter)にポストした情報によると、トヨタファイナンシャルサービスのドイツオフィスにはCitrix Gatewayが設置されており、最終更新日が2023年8月26日(グリニッジ標準時)であることからCVE-2023-4966で追跡される脆弱性が悪用された可能性があると指摘している。
CVE-2023-4966はCitrix NetScaler ADCおよびNetScaler Gatewayに存在する脆弱性で、認証されていないリモートの第三者によって認証を回避して機密情報を窃取される危険性があるとされている(参考:「Citrix ADCとCitrix Gatewayにゼロデイの脆弱性、ただちに対応を | TECH+(テックプラス)」)。