ライドシェアリング企業のUberは8月15日木曜日にセキュリティ侵害を受け、複数の社内通信システムとエンジニアリングシステムの停止を余儀なくされた。
同社はツイッター投稿で事件を認め、当局と連絡を取っていると述べた。また、ニューヨーク・タイムズ紙は、ハッキングの犯人を名乗る人物が電子メール、クラウドストレージ、コードリポジトリの画像をサイバーセキュリティ研究者と同紙に送ったと報じた。
ハッカーはSlack経由で従業員と通信する
ニューヨーク・タイムズ紙によると、Uberの従業員は社内メッセージサービスであるSlackの使用を控えるよう指示された。木曜日の午後にSlackがオフラインになる前に、Uberの従業員は「私はハッカーであり、Uberはデータ侵害を受けた」というメッセージを受け取った。ニューヨーク・タイムズ紙によると、メッセージにはハッカーが侵害されたと主張する複数の社内データベースの詳細も記載されていた。
Uber従業員のSlackアカウントがハッカーに不正アクセスされ、メッセージを送信されたと報じられています。ハッカーはその後、他の社内システムにもアクセスし、社内従業員情報ページに露骨な写真を投稿したようです。
ニューヨーク・タイムズ紙によると、ハッカーとされる人物はソーシャルエンジニアリングを使い、ウーバーの企業情報技術担当者を名乗り、従業員にパスワードを提供させてウーバーのシステムにアクセスしようとしたという。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
侵害がどの程度広範囲に及んでいるか、またハッカーがユーザーデータにアクセスしたかどうかは不明だ。
Uberがセキュリティ侵害を経験するのは今回が初めてではありません。2016年には、同社のシステムがハッキングされ、約5,700万人の顧客と従業員の個人データが漏洩しました。
セキュリティ担当者は従業員の教育の必要性を強調している
治安当局者はこの侵入に驚いていないようだ。
「クラウド セキュリティへの配慮は後回しにされることが多いため、このような事態は必然的に起こった」と、Contrast Security の認定情報セキュリティ マネージャー (CISM) 兼サイバー戦略担当シニア バイスプレジデントであるトム ケラーマン氏は述べています。
ケラーマン氏によると、サイバーセキュリティは必ずしもビジネス機能として捉えられておらず、むしろ費用として捉えられているという。2023年にこのような侵害を回避するには、企業はクラウドネイティブ環境の継続的な監視に注力する必要があるとケラーマン氏は主張する。
「今回の侵害は、企業が従業員に対し、ソーシャルエンジニアリングの危険性とその防御方法について教育を行う必要性を浮き彫りにしています」と、LARESコンサルティングの仮想CISOであるダリル・マクロード氏は述べています。「ソーシャルエンジニアリング攻撃はますます蔓延し、巧妙化しているため、その危険性を認識することが重要です。機密データを保有する企業で働いている方は、ソーシャルエンジニアリング攻撃を見分ける方法と、遭遇した場合の対処法を必ず理解しておいてください。」
シカゴに拠点を置き、ゼロトラストおよびゼロ知識サイバーセキュリティソフトウェアを提供するキーパーセキュリティ社は、同社の調査によると、米国の平均的な企業は年間42件のサイバー攻撃に遭遇し、そのうち3件は成功していると発表した。
「これらの攻撃がもたらす被害の中で最も具体的な例は、事業運営への影響と経済的損失かもしれませんが、評判への悪影響も同様に壊滅的なものです」と、Keeper SecurityのCEO兼共同創設者であるダレン・グッチオーネ氏は述べています。「注目を集めた侵害は、規模の大小を問わず、組織にとってゼロトラスト・アーキテクチャの導入、MFA(多要素認証)の有効化、そして強力で固有のパスワードの使用を促す警鐘となるはずです。」
グッチオーネ氏は、最初の防御線はパスワードマネージャーだと語った。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
「これにより、あらゆるウェブサイト、アプリケーション、システムに高強度のランダムパスワードが作成され、さらに、認証アプリなどの強力な二要素認証が可能になり、リモートからのデータ侵害から保護されます」とグッチオーネ氏は述べた。
グッチオーネ氏は、不審なフィッシングメールやスミッシングのテキストメッセージを見分ける方法について従業員を教育することの重要性を強調し、「これらは重要なシステムにマルウェアをインストールし、ユーザーのアクセスを阻止し、機密データを盗むことを目的としている」と述べた。
カリフォルニア州マウンテンビューに本拠を置く統合ソフトウェアシステムプロバイダー、シノプシス ソフトウェア インテグリティ グループのフェロー、レイ ケリー氏も同様の意見を述べています。
「サイバーセキュリティの専門家が、サイバーセキュリティにおいて人間が最も脆弱な部分であることが多いと言うのには理由があります」とケリー氏は述べた。「企業はセキュリティハードウェアやツールに多額の予算を投じることができますが、従業員への徹底的なトレーニングやテストには十分な重点が置かれていません。」
ソーシャルエンジニアリングは、悪意のある人物が企業のネットワークにアクセスするための最も簡単なルートになるだろうとケリー氏は付け加えた。
テルアビブに拠点を置くセキュリティクラウド自動化イネーブラーであるソルボのCEO、シラ・シャンバン氏は、セキュリティインシデントの防止は「不可能なミッション」であると指摘した。
「したがって、セキュリティチームは、導入したガードレールと設計した保護の階層によって評価されることになります」とシャンバン氏は述べた。「IAM(アイデンティティおよびアクセス管理)を活用することは、たとえ認証情報が一部漏洩したり、一部のマシンがハッキングされたりした場合でも、影響範囲を限定し、攻撃者の横方向の移動能力を制限するための賢明な方法です。」
