今年9月に発覚したウーバーへのハッキング攻撃に関して、同社より被害の一部情報が開示され、関心を集めている。

ウーバー社内で使用されているシステムを一時的にダウンさせたこのハッキング攻撃を実施したとされるのは「Lapsus$」という昨年のブラジル保健省に対するランサムウェア攻撃に関わったとされるグループだ。

UnsplashTowfiqu barbhuiyaより

このグループはウーバーだけでなく、米ゲームメーカーのロックスターゲームズの社内システムにも最近侵入し、まだ開発中の新作ゲーム「グランドセフトオート6」の映像を漏えいしたとも主張している。

世界に名だたるIT企業でも防げなかった今回のハッキング攻撃。南米ブラジルが拠点と言われるハッカー集団「Lapsus$」はどのような手段でウーバーの社内システムに侵入したのだろうか。

被害の全貌を把握するための調査が続くウーバーへのハッキング攻撃

今回のウーバーへの攻撃では、ハッカーが社内ネットワークに侵入し、膨大な顧客データを保存するシステムにアクセスしたことで、同社は漏洩した社員や請負業者社員のパスワードをすべて変更するまで、特定の社内システムへのアクセス制限を行わざるを得なくなった。

配車、フードデリバリーで世界中に展開するUberがハッキングのターゲットにされた(UnsplashRobert Anaschより)

この攻撃によって、ウーバーが請求書管理に使用している社内ツールの情報とSlackメッセージの流出が確認されている。

顧客のクレジットカードデータなどの機密情報は守られ、カスタマーサービスも現在は平常通りの対応に戻っていると、ハッキングによるユーザーへの影響はほぼないことを強調しているウーバー社だが、社内業務には少なからぬ影響を受けたことは間違いない。 

Slack、Amazon Web Services、Google Cloud Platformといった、複数の社内で利用されているシステムが一時的に使用できなくなり、さらにハッカーは社内のSlackシステムにメッセージを投稿、犯行声明と会社の機密情報、「ウーバーのドライバーへの支払いは不十分だ」というハッシュタグを投稿して同社を挑発した。

被害の全貌把握にはさらなる調査が必要であるとして、ウーバーはFBIおよび米国司法省と連携を取りながらさらなる調査を続けている。

ウーバーへの攻撃により業務に必要な社内ツールが一時的に使用できなくなった(UnsplashSigmundより)

「Lapsus$」はこれまで政府機関や世界各国の大企業にもハッキング攻撃

このハッキング攻撃を行ったとされる「Lapsus$」は、今年初めのロンドン警察によるメンバー数人の逮捕で、10代の若者ハッカーが中心的存在として関わっていることが報じられた国際的なハッカー組織。

ウーバーに対する今回の攻撃以前から、仮想通貨取引所のユーザーアカウント乗っ取り、仮想通貨の盗難などで知られた存在だった。

攻撃対象は個人から行政機関、企業まで多岐に渡り、昨年末のブラジル保健省に対するランサムウェア攻撃では、ブラジル国内の数百万人のCOVID-19ワクチン接種データが危険にさらされた。

また、大手半導体メーカーのNVIDIAや大手家電メーカーのSamsung、Microsoft、Vodafoneもこれまで攻撃対象となっており、ソースコードなどの情報が流出するといった被害を受けている。

パスワードはダークウェブ経由で売買され流出した可能性も

このウーバーへの攻撃を行ったと主張する18歳のハッカーは、ニューヨークタイムズなどの米メディアの取材に応えている。

それによると、今回の攻撃は、ウーバー社員あるいは同社の請負業者社員のパスワードを不正に入手した後、さらに「多要素認証(MFA)」を承認させるようターゲットの社員を心理的に誘導することによって行われたという。

ハッキングにあたりダークウェブ上のマーケットでパスワードが購入された可能性(UnsplashChristian Wiedigerより)

パスワードの流出については、ターゲットとなった社員が使用しているコンピュータをパスワード窃盗マルウェアに感染させることによって、認証情報を「Lapsus$」のハッカーが直接盗みだした、あるいは「Lapsus$」以外の第三者ハッカーが盗み出してダークウェブ上のマーケットプレイスで売り出したものを「Lapsus$」が購入した可能性があるとウーバーは報告している。

社内システムへのアクセスパスワード流出後、多要素認証も突破

今回の攻撃では、近年金融機関から社内システムへのアクセスにまで広く導入されているセキュリティ強化の手段である「多要素認証(MFA)」も突破された。

「多要素認証」とは、パスワードなどの「知識」、デバイスやICカードなどの「所持」、指紋や顔などの「生体」情報というオンライン認証の3要素のうち、2つ以上の組み合わせで認証を行うことでセキュリティを高めるものだ。

ウーバーの社内システムへのアクセスには、パスワードだけでなく、あらかじめ登録されたデバイスからのアクセスが必要だったが、ハッカーはターゲットの社員のデバイスに1時間以上繰り返しアクセスの認証を求めるプッシュ通知を送り苛立たせた上で、チャットアプリ「WhatsApp」でウーバーのIT部門を名乗るメッセージを送信、プッシュ通信を止めたいなら自分のデバイスの登録を追加するように誘導した。

人間の心理的な隙につけ込むハッキング手口「ソーシャルエンジニアリング」

このような手口は「MFA疲労攻撃(MFA Fatigue Attack)」と呼ばれ、人間の心理や行動を利用してハッキングを行う手口である「ソーシャルエンジニアリング」の一種として有名だ。

「LAPSUS$」が多用する手口「ソーシャルエンジニアリング」 UnsplashSigmundより

セキュリティを確保するために、繰り返しログインと再認証を行わなければならないという人間が心理的に負担を感じる状況を利用。

特に就業時間外を狙って、ターゲットに多要素認証を促すプッシュ通知の洪水を浴びせ、ターゲットが苛立ちやうっかりスマホの画面で認証をタップしてしまうなど、些細なミスでログインを他者に許してしまうという一種のヒューマンエラーを狙う手法である。

システムのセキュリティ上の欠陥を突くのではなく、人間のミスの誘発を誘う点が特徴だ。

求められる「ソーシャルエンジニアリング」への対策

2016年には5700万人のドライバーとユーザーのアカウント情報が盗み出され、約1100万円を超える身代金の要求に答えた上、そのハッキング被害を1年以上隠したことが問題となったウーバー。

その反省からか、今回は自社が受けたハッキング被害の情報を早い段階で共有し、セキュリティ改善とその情報公開にも取り組んでいるようだ。

ソーシャルエンジニアリングの手法の周知や、ログインする人の画面にコードを表示し、そのコードをその人の認証済みデバイスのアプリに入力させるプロセスを追加するといった多要素認証(MFA)の強化など、常に進化し様々な手段で巧妙化するハッキングに対し、各企業はより効果的な対策を求められるようになっている。

文:大津陽子
編集:岡徳之(Livit