Microsoft(マイクロソフト)は、ハッキンググループLapsus$による不正侵入を明らかにした。
Lapsus$がBing、Bing Maps、Cortanaのソースコードの一部を含むtorrent(トレント)ファイルを投稿した数時間後、Microsoftは米国時間3月22日のブログ投稿で、従業員1人のアカウントがハッキンググループによって侵害され、攻撃者がMicrosoftのシステムに「限定アクセス」して同社のソースコードを盗んだことを発表した。
Microsoftによると、顧客のコードやデータは漏洩していない。
「当社のサイバーセキュリティ対応チームは、侵害されたアカウントを修復し、さらなる不正活動を防止するために迅速に取り組みました」と同社は述べた。「Microsoftはセキュリティ対策としてコードの機密性に依存しておらず、ソースコードの閲覧がリスク上昇につながることはありません。この不正行為者が侵入を公表したとき、当社のチームはすでに脅威情報に基づき、侵入されたアカウントを調査していました。今回の公開により当社の行動はエスカレートし、当社のチームは介入して操作の途中で中断させることができ、より大きな影響を抑えることができました」。
Microsoftは、アカウントがどのように侵害されたのか詳細を共有していないが、同社の脅威インテリジェンスセンター(MSTIC)が複数回の攻撃で確認したLapsus$グループの戦術、テクニック、手順についての概要を提供した。当初、Lapsus$の攻撃は南米と英国の組織を標的としていたが、その後世界の政府機関やテクノロジー、通信、メディア、小売、ヘルスケア分野の企業へとターゲットを拡大した。
Microsoftによると、同社がDEV-0537として追跡しているLapsus$は「純粋な強奪と破壊のモデル」で活動し、他のハッキンググループとは異なり「痕跡を隠さない」という。これは、このグループが標的型攻撃を実行するために、企業の内部関係者を公募しているためのようだ。Lapsus$は組織への最初のアクセスを得るために多くの方法を使用し、通常ユーザーのIDとアカウントを侵害することに重点を置いている。標的とする組織の従業員をリクルートするだけでなく、ダークウェブフォーラムから認証情報を購入したり、公開されている認証情報のリポジトリを検索したり、パスワードを盗み出すRedlineを展開するなどの方法を取っている。
Lapsus$はそうして漏洩した認証情報を使用して、仮想プライベートネットワーク、リモートデスクトップインフラ、Okta(オクタ)のようなID管理サービスなど、標的企業のインターネットに面したデバイスやシステムへアクセスする。このハッキンググループは1月にOktaへの侵入に成功している。Microsoftによると、Lapsus$は少なくとも1件の侵害において、組織へのログインに必要な多要素認証(MFA)コードにアクセスしようと、従業員の電話番号とテキストメッセージを制御するためにSIMスワップ攻撃を行った。
ネットワークにアクセスした後、Lapsus$はより高い権限や幅広いアクセス権を持つ従業員を見つけるために一般公開されているツールを使って組織のユーザーアカウントを探り、Jira、Slack、Microsoft Teamsなどの開発・コラボレーションプラットフォームを標的にし、さらに認証情報を盗み出す。また、ハッキンググループはMicrosoftへの攻撃と同様、GitLab、GitHub、Azure DevOpsのソースコードリポジトリへのアクセスを得るためにこれらの認証情報を使用する。
「DEV-0537が組織のヘルプデスクに電話をかけて、サポート担当者に特権アカウントの認証情報をリセットするよう説得しようとするケースもありました」とMicrosoftは付け加えた。「このグループは、事前に収集した情報(例えばプロフィール写真)を使用し、ネイティブの英語を話す人物にヘルプデスク担当者と会話させ、ソーシャルエンジニアリングの誘惑を強化しました」。
Lapsus$一味は、既知の仮想プライベートサーバ(VPS)プロバイダに専用インフラを設置し、消費者向け仮想プライベートネットワークサービスNordVPNを活用してデータを流出させる。ネットワーク検出ツールの起動を避けるために、ターゲットに地理的に近いローカルのVPNサーバーを使用することさえある。盗まれたデータは、将来の恐喝に使用されるか、一般公開される。
ハッキンググループLapsus$は、NVIDIA(エヌビディア)やSamsung(サムスン)を含む多くの有名企業を危険にさらし、ここ数週間でその名を知られるようになった。今週初めにはOktaの内部システムのスクリーンショットが投稿され、Oktaが最新の被害者であることが明らかになった。OktaはLapsus$がサードパーティのカスタマーサポートエンジニアを危険にさらしての情報漏洩であることを認め、1万5000の顧客の約2.5%に影響を与えたと説明した。
1月の5日間の間に発生したこの侵害について、Oktaが顧客に今まで通知しなかった理由は今のところ不明だ。
画像クレジット:Jaap Arriens / NurPhoto / Getty Images
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)