T-Mobileは3月、サイバー犯罪グループ「Lapsus$」による一連のデータ侵害の被害に遭いました。セキュリティサイトKrebsOnSecurityは金曜日の投稿で、Lapsus$のメンバー間のチャットメッセージが流出したことを明らかにしました。その中で彼らは、T-Mobileの従業員を標的に、被害者の携帯電話番号へのアクセスを目的としたソーシャルエンジニアリング戦術について議論していました。SIMスワッピングと呼ばれるこの戦術は、攻撃者が所有するデバイスに電話番号を転用することで、テキストメッセージや通話を傍受し、パスワードリセットや多要素認証コードを入手することを可能にします。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
KrebsOnSecurityによると、Lapsus$のメンバーはダークウェブで購入したT-MobileのVPN認証情報を使用して、T-Mobileの顧客アカウント管理ツールであるAtlasにアクセスできたという。メンバーの一部がSIMスワップ攻撃に注力すべきかどうか議論している間、ある人物がアクセス情報を利用して自動スクリプトを実行し、T-Mobileから3万件以上のソースコードリポジトリをダウンロードした。
これらの事件を受けて、T-Mobile は KrebsOnSecurity に次のような声明を発表しました。
T-Mobileは、「数週間前、当社の監視ツールが、盗まれた認証情報を用いて運用ツールソフトウェアが格納されている社内システムにアクセスした不正行為者を検知しました」と述べています。「アクセスされたシステムには、顧客情報や政府情報、その他同様の機密情報は含まれておらず、侵入者が何らかの価値あるものを入手したという証拠はありません。当社のシステムとプロセスは設計通りに機能し、侵入は迅速に停止・遮断され、侵害された認証情報は無効となりました。」
2021年12月頃に出現したLapsus$は、ダークウェブで盗難データを購入したり、公開コードリポジトリをスキャンして流出した認証情報を探したり、パスワードスティーラーを使用したり、従業員に金銭を支払って機密データを共有させたり、ソーシャルエンジニアリングのトリックを用いて機密アカウントにアクセスしたりするなど、様々な戦術を巧みに組み合わせて名を馳せてきました。それ以来、このグループはMicrosoft、Nvidia、Samsung、Oktaなど、多くの有名企業を標的にしています。
「Lapsus$によるこれらの注目を集めた攻撃は、盗難された認証情報やソーシャルエンジニアリング攻撃が依然としていかに危険であるかを浮き彫りにしています」と、Digital Shadowsのシニアサイバー脅威インテリジェンスアナリスト、イヴァン・リギ氏は述べています。「Lapsus$の攻撃はそれほど高度ではありません。通常、盗難された認証情報を用いて攻撃を開始し、その後、ソーシャルエンジニアリングの手法を用いて多要素認証を回避しようとします。Lapsus$は、様々な認証情報を低価格で販売しているロシア市場などのアンダーグラウンドマーケットプレイスやAVCサイトからこれらの認証情報を入手している可能性が高いです。」
皮肉なことに、このギャングの露骨な攻撃手法と注目を集めることを好む性質は、法執行機関とのトラブルを招きました。最近の攻撃を受けて、Lapsus$の活動メンバー数名が3月に逮捕されました。しかし、これらの重要な逮捕にもかかわらず、他のメンバーが新たな攻撃を仕掛けることでその穴を埋めているため、グループは依然として活動しているようです。
Lapsus$ が使用した手法は、サイバーセキュリティに関して組織がまだどこで失敗しているかを明確に示しています。
「当然のことながら、盗難された認証情報は依然として侵入の好まれる手段です」と、Vectraの副CTO、ティム・ウェイド氏は述べています。「多くの組織にとって驚くべきことは、認証情報にまつわるリスクがどれほど多く存在するか、そして、自社の体制に対するリスクを効果的に評価できないこと、あるいは何か問題が発生した際にそれを検知・対応できないことが、いかに頻繁に攻撃者に攻撃の機会を与えてしまうかということです。組織は、侵入前段階でのリスク管理だけでなく、侵入後に攻撃者を発見・排除する方法についても、じっくりと時間をかけて検討する必要があります。」
多くの組織はセキュリティツールやテクノロジーに重点を置いていますが、ユーザーを考慮することを怠っています。
「Lapsus$が使用するTTPは目新しいものではないが、サイバーセキュリティにおける共通の弱点、つまりユーザーを浮き彫りにしている」とリギ氏は述べた。「最も安全な技術的制御でさえ、ソーシャルエンジニアリングに高度なスキルを持つ脅威アクターによって回避される可能性があり、複数のアカウントで同じ認証情報を使用するユーザーは、組織を危険にさらす可能性がある。」
ユーザーアカウントの保護に多要素認証(MFA)を導入する組織が増えています。しかし、導入するMFAの種類によってセキュリティは大きく異なります。Righi氏によると、Lapsus$による攻撃は、SMSメッセージや電話によるMFAの危険性を浮き彫りにしています。同グループは電話を使ったソーシャルエンジニアリングの手法を用いてアカウントを侵害してきたからです。
