Lapsus$
設立 | c. 2021 |
---|---|
種類 | サイバー犯罪 |
本部 | 不明 |
貢献地域 | 国際的 |
組織的方法 | スピアフィッシング、SIMスワッピング、ソーシャル・エンジニアリング |
会員数 | 7名 (2022年3月時点) |
加盟 | 不明 |
Lapsus$は、2021年にブラジル保健省のコンピューターシステムを侵害したことで悪名を轟かせたハッカーグループ[1][2][3]。拠点はブラジルまたは南米諸国と考えられているが[4]、正式にはまだ分かっていない。マイクロソフトは「DEV-0537」と名付けて追跡している[5][6]。
概要
[編集]匿名メッセージアプリTelegramを活動の場にしており、次のターゲットをどの組織にするかという投票を頻繁に行ったりしている。また、盗み出した情報を暴露するのにも利用する[7]。
マイクロソフトが報告したレポートによると、Lapus$は企業から盗んだデータを公開あるいは破壊すると恐喝するグループだが、ランサムウェアは使用しない。また暗号資産取引所のアカウントを奪取し、暗号資産を盗む活動も行う[5]。
手口
[編集]侵入方法は、リモート・デスクトップ・プロトコル(RDP)の悪用、スマートフォンベースのソーシャル・エンジニアリング、アカウント乗っ取りのためのSIMスワッピングなどを得意とする。またTelegramなどで、標的企業の従業員やビジネスパートナーの従業員に対し、ログイン資格を購入すると宣伝している[5]。例えば、2022年3月10日には「Apple、マイクロソフト、IBM社員の協力者大募集」と呼びかけていた[8]。
マイクロソフトは対策として、多要素認証の導入、クラウドの保護、最新のVPN認証などの採用、ソーシャルエンジニアリング対策として従業員の教育などを推奨している[5]。
歴史
[編集]Lapsus$は、2021年にブラジル保健省やポルトガル語のメディア「SIC Noticias」「Expresso」に対する攻撃を行っていたが、2022年頃から国際的なハイテク企業を狙って活動を活発化させている[9]。
サイバーセキュリティの専門家は、Lapsus$は様々な攻撃手法でその能力を試している、まだ成熟途上のサイバー犯罪集団とみており、ロシアのウクライナ侵攻を利用し、セキュリティベンダーの注意をそらしている可能性があると述べている[9]。セキュリティベンダーLookoutは行動パターンなどから、完全に新しいグループであり、他のハッカーグループがブランド名を変更したものではないと考えている[9]。
2022年3月24日、イギリスのロンドン市警察は一連の攻撃に関与した容疑で16歳から21歳までの若者7人を逮捕し、仮釈放したと発表した。正式起訴はしておらず、捜査は継続するという。7人がLapsus$のメンバーなのかは言及していない[10][11]。
3月31日、Appleとメタは2021年半ばに、法執行当局者になりすましたハッカーに騙され顧客データを提供した。要請を送ったハッカーはイギリスとアメリカに住む未成年者とされ、このうちの1人がLapsus$の首謀者であるとされる[12]。
関与したとされるサイバー攻撃
[編集]ブラジル保健省
[編集]2021年12月、ブラジル保健省が侵入され、50TBを超えるデータを盗まれた。さらに新型コロナウイルス感染症に関するデータなどをシステムから削除された。この攻撃の復旧には1カ月間かかった[13]。
NVIDIA
[編集]2022年2月、アメリカの半導体メーカーNVIDIAに侵入し、1テラバイトのソースコードや従業員の認証情報などの内部情報を盗みだして身代金を要求した[1]。2月23日、同社はセキュリティ侵害を受けたことを認め、法執行機関への報告と、専門家に調査を依頼した[14]。身代金は要求されたが、ランサムウェアは展開されていないとしている[4]。
仮想通貨が高騰するとマイニングのためにGPUが買い占められた。そのためNVIDIAは2021年に主力製品のGeForceにマイニングへの使用を制限するハッシュレートリミッター「Lite Hash Rate」(LHR)を導入し、製品を安定供給できるようにした[14]。LAPSUS$は入手した採掘効率制限を回避するソフトウェアツールを100万ドル(約1億1600万円)以上で買い取るように脅迫し、従わない場合は競売に出して最高額入札者に売り払うとしている[15]。
アナリストのDylan PatelはNvidiaへのハッキングについて「米国にとって、国家規模の災害だ」と述べた[4]。
サムスン電子
[編集]2022年3月7日、韓国のサムスン電子がハッキングを受け、セキュリティシステム「Knox」、生体認証システム「サムスンパス」、ブートローダー、スマートフォンGalaxyのソースコード、チップ設計パートナーのクアルコムに与えられたソースコードなど約190GBが盗み出された[3][16]。サムスンは情報が流出したことを認めたが、役員や顧客の個人情報は含まれていないとしている。また韓国の国家情報院は、流出した情報は国家的な中核技術には該当しないという立場を取っている[17]。
メルカドリブレ
[編集]南米最大のECサイトを運営するアルゼンチンのメルカドリブレは、ソースコードの一部と、約30万人のユーザーデータが不正アクセスされたと報告した。しかし同社のインフラシステムや、ユーザーのパスワード、口座残高、投資、財務情報、クレジットカード情報が取得されたという証拠は見つかっていないとしている[18]。
Ubisoft
[編集]2022年3月11日、フランスのゲーム開発会社Ubisoftは、サイバーセキュリティ事件があったことを報告した[19]。同社のITチームは外部の専門家と協力し問題の調査にあたっており、既に予防措置としてすべてのパスワードのリセットを行なったとしている。このハッキングによるプレイヤーの個人情報流出はないとしている[20]。
マイクロソフト
[編集]2022年3月20日、マイクロソフトのチーム共同で開発・運用するサービス「Azure DevOps」サーバをハッキングしたと宣言した[21]。スクリーンショットを掲載し、Bing、Cortanaの45%、Bing Mapsの90%のソースコードを盗み出したとコメントした。BleepingComputerによると約37GBのデータが盗まれたという[22]。3月22日、マイクロソフトは情報流出を認めたが、顧客のコードやデータは含まれていないとしている[5]。侵入経路は一人の従業員アカウントで、すぐに修正し以後の活動を防いだとしている[23]。また流出したコードは機密性に依存していないため、ソースコードを公開されても危険性は高まらないと説明している[5]。
Okta
[編集]2022年3月21日、アメリカの法人向けユーザー認証サービスの大手で、1万5000社以上の顧客に2要素認証を提供しているOktaがハッキングを受けた[24]。Lapsus$はシステム権限を奪ったと宣言し、Telegramにスクリーンショットを掲載した[25]。同社CEOは、2022年1月下旬にサブプロセッサーに勤務する顧客サポート担当エンジニアのアカウントに5日間にわたり不法アクセスがあったことを認めたが、「Oktaのサービスは侵害されておらず、完全に稼働しています。お客様がとるべき是正措置はありません」と説明した[26]。これに対しLapsus$は攻撃の重大さを矮小化しようとしていると批判した[27]。同社はのちに、最大で366の顧客が影響受けた可能性があると変更し[28]、顧客のパスワード変更などの手続きを進めていると述べた[27]。また侵入経路は、外部の請負業者Sitelが雇用するエンジニアのノートパソコンからだったと調査を報告した[28]。権限は限定されており重要なデータにはアクセスできないため、今回の事件での大きな被害はないとしている[29]。
Lapsus$の犯行が明らかになった3月22日には、アメリカ株式市場で同社の株が前日比で8.8%下落した[30]。
Rockstar Games
[編集]2022年9月、ゲームソフト会社Rockstar Gamesが開発中の『グランド・セフト・オート』の新作のソースコードが盗み出され、犯人がプレイ動画やソースコードをネット上に公開した[31]。
Uber
[編集]2022年9月15日、Uberの社内システムがサイバー攻撃を受けダウンした件で、19日に同社は「Lapsus$に所属していると考えられる」と発表した。また、顧客の個人情報など機密性の高いデータの流出は無かったとしている[32][33]。
犯人は上記のRockstar Gamesへの攻撃を行なった人物と同一で、自分は18歳だと述べていた。二つは「多要素認証」攻撃という手口で侵入されたと推測されている[34]。
脚注
[編集]- ^ a b “Cybercriminals who breached Nvidia issue one of the most unusual demands ever” (英語). Ars Technica (4 March 2022). 2022年3月14日閲覧。
- ^ “Samsung Confirms Massive Galaxy Hack After 190GB Data Torrent Shared Via Telegram” (英語). Forbes. 2022年3月14日閲覧。
- ^ a b “Is Lapsus$ targeting Big Tech after Samsung breach?”. Tech Monitor (7 March 2022). 2022年3月14日閲覧。
- ^ a b c “NVIDIAのハッキング被害は、「国家規模の災害」”. EE Times (2022年3月15日). 2022年3月23日閲覧。
- ^ a b c d e f “Microsoft、ハッキンググループLapsus$の手口や対策を公開”. ITmedia (2022年3月23日). 2022年3月23日閲覧。
- ^ “マイクロソフト、脅威グループ「LAPSUS$」による侵害を確認”. ZDNet (2022年3月23日). 2022年3月23日閲覧。
- ^ “The Lapsus$ Hacking Group Is Off to a Chaotic Start”. Wired. 2022年3月22日閲覧。
- ^ “戦乱に乗じてハッカー集団LAPSUS$が勢いづき、IT企業が次々標的に。MSのコードも大量リーク?”. ギズモード (2022年3月23日). 2022年3月24日閲覧。
- ^ a b c “Lapsus$ gang sends a worrying message to would-be criminals” (英語). www.theregister.com. 2022年3月22日閲覧。
- ^ “Seven teenagers arrested in connection with the Lapsus$ hacking group”. THE VERGE (Mar 24, 2022). 2022年3月25日閲覧。
- ^ “英警察、サイバー攻撃関与容疑で7人逮捕 米オクタなど標的”. ロイター (2022年3月25日). 2022年3月25日閲覧。
- ^ “アップルとメタ、当局なりすましハッカーに顧客情報提供-関係者”. ブルームバーグ (2022年3月31日). 2022年4月3日閲覧。
- ^ “マイクロソフトやOktaなど大手企業を次々と狙うハッカー集団「LAPSUS$」とは”. ZDNet (2022年3月25日). 2022年3月25日閲覧。
- ^ a b “エヌビディアのマイニング制限機能を回避──ハッカーがソフトウェアを販売か”. coindesk (2022年3月2日). 2022年3月23日閲覧。
- ^ “NVIDIAを攻撃のハッキンググループLapsus$、「イーサリアムのマイニング制限回避ツールを1億円以上で買い取れ」と脅迫か”. TechCrunch Japan (2022年3月3日). 2022年3月23日閲覧。
- ^ “サムスンがハッキング被害。Galaxyソースコードが盗まれる(社員・ユーザーの個人情報漏洩なし)”. ギズモード (2022年3月8日). 2022年3月23日閲覧。
- ^ “韓国国家情報院、サムスンのハッキングに「国家的な中核技術の流出はなし」と確認”. wowkorea (2022年3月8日). 2022年3月23日閲覧。
- ^ “E-commerce giant Mercado Libre confirms source code data breach”. Bleeping Compute (March 8, 2022). 2022年3月24日閲覧。
- ^ “Ubisoft says it experienced a ‘cyber security incident’, and the purported Nvidia hackers are taking credit” (英語). The Verge (11 March 2022). 2022年3月14日閲覧。
- ^ “Ubisoftがハッキングされ一部サービスが一時中断。個人情報流出なし”. PC Watch (2022年3月16日). 2022年3月23日閲覧。
- ^ Cox, Joseph (21 March 2022). “Microsoft Investigating Claim of Breach by Extortion Gang”. Motherboard. Vice. 21 March 2022閲覧。
- ^ “Microsoftの「Bing」などのソースコードを盗めたとLapsus$が宣言”. ITmedia (2022年3月23日). 2022年3月23日閲覧。
- ^ “マイクロソフト、ハッカー集団LAPSUS$によるアカウントへの「限定的なアクセス」認める”. CNET News (2022年3月24日). 2022年3月24日閲覧。
- ^ Porter, Jon (22 March 2022). “Okta hack puts thousands of businesses on high alert”. The Verge. 22 March 2022閲覧。
- ^ “認証サービスのOkta、不正アクセスの影響は最大366社”. CNET News (2022年3月24日). 2022年3月24日閲覧。
- ^ “認証サービスのOktaに不正アクセス--スクリーンショット流出に関連”. CNET News (2022年3月23日). 2022年3月23日閲覧。
- ^ a b “認証サービスの米オクタにサイバー攻撃、一部顧客に影響も”. ロイター (2022年3月23日). 2022年3月23日閲覧。
- ^ a b “米オクタへのサイバー攻撃、最大366顧客に被害の恐れ”. ロイター (2022年3月23日). 2022年3月23日閲覧。
- ^ “Lapsus$に侵入されたOkta、「影響を受けた顧客は366社」 経緯を説明”. ITmedia (2022年3月24日). 2022年3月24日閲覧。
- ^ “オクタ株下落、システム権限にアクセスしたとハッカー集団が主張”. ブルームバーグ (2022年3月22日). 2022年3月23日閲覧。
- ^ “「GTA 6」(仮)のコードとプレイ動画流出か YouTubeはTake Twoの要請で削除済み”. ITmedia (2022年9月19日). 2022年11月6日閲覧。
- ^ “Uber、9月15日の攻撃者はLapsus$と説明 FBIの捜査に協力中”. ITmedia (2022年9月20日). 2022年11月6日閲覧。
- ^ “ウーバーをハッキングした「Lapsus$」の正体。求められる「ソーシャルエンジニアリング」への対策”. AMP (2022年11月6日). 2022年11月6日閲覧。
- ^ “GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う”. ITmedia (2022年9月28日). 2022年11月6日閲覧。