全2444文字
PR

 2022年2~3月にかけて、「Lapsus$(ラプサス)」と名乗るサイバー犯罪者集団が話題をさらった。米Microsoft(マイクロソフト)や米NVIDIA(エヌビディア)、ID管理クラウド最大手の米Okta(オクタ)、韓国Samsung Electronics(サムスン電子)など、有力企業を次々と攻撃、侵入したからだ。

米Oktaによる不正アクセスの状況報告
米Oktaによる不正アクセスの状況報告
(出所:米Okta)
[画像のクリックで拡大表示]

 幸いにも、ラプサスによる日本の企業や組織への攻撃は2022年3月末時点で確認されていない。2022年3月下旬には、リーダー格の1人が英国で逮捕されたとの報道も出た。英BBCなどによれば、ロンドン市警が2022年3月22日(英国時間)、ハッキングの捜査に関連して16~21歳の7人を逮捕した。市警は明言していないものの、7人の中にラプサスのリーダー格が含まれていたとみられる。

 ただ、油断はできない。サイバー攻撃やマルウエア(悪意のあるプログラム)に詳しいゴーアヘッドの長谷川達也テクニカル・セキュリティー・アドバイザーは、「ラプサスは最近目立つランサムウエア(身代金要求型ウイルス)攻撃とは異なる手口を駆使していた」と指摘する。

 ラプサスの活動が停滞したとしても、別の犯罪者集団が手口をまねる可能性もある。企業はラプサスの手口を理解し、自社の防備を再点検しておくべきだろう。

ソーシャルエンジニアリングや正規ツールで攻撃

 ラプサスの特徴的な手口とはどんなものか。ゴーアヘッドの長谷川氏は大きく2つ挙げる。

 1つは、マルウエアに頼らず、人を「攻撃」して侵入を足がかりとする「ソーシャルエンジニアリング」などの手法を駆使して認証を突破してくる点だ。標的企業や取引先企業の従業員に「協力」を呼びかけたり、闇サイトで販売されている認証情報を調達したりして、正規のユーザーになりすまして侵入しているという。

 マイクロソフトが調査しブログに公表した内容によれば、ラプサスは従業員の私用アカウントなどに不正侵入し、多要素認証の突破に必要な情報を入手するケースもあった。これは、多要素認証の2つ目の認証手段や認証用パスワードを忘れたときの救済手段として、従業員の私用アカウントや携帯電話番号を使うケースがある点に着目したものと考えられる。先に侵害した私用アカウントの情報を悪用して、標的企業の認証を突破するわけだ。

不正アクセスの手口を解説する米Microsoftのブログ
不正アクセスの手口を解説する米Microsoftのブログ
(出所:米Microsoft)
[画像のクリックで拡大表示]

 一連の手口を使われると、たとえ多要素認証を導入していても不正侵入を防げるとは限らない。正規ユーザーになりすまされているので、不審な動きにも気づきにくい恐れがある。

 もう1つの特徴的な手口は、マイクロソフトのID管理システム「Active Directory(AD)」のデータを探索する際に、正規ツールである「Active Directory Explorer」を使う点だ。同ツールを使うと、GUIでADのデータベース内を参照したりアクセスの可否を編集したりできる。ゴーアヘッドの長谷川氏は「サイバー攻撃に悪用するのは珍しいのではないか。少なくとも自身は初めて知った」と話す。

 というのも、ランサムウエアを使う犯罪者集団の多くは攻撃の過程でADにアクセスする際、「ADReconやAdFindなど、目的の操作を自動化できるサードパーティー製ツールを使う」(長谷川氏)。犯罪者からすれば作業を効率化しやすい半面、マルウエア対策ソフトが脅威として検出されてしまう恐れもある。

 一方、正規ツールのAD ExplorerはGUIベースの手作業を前提とする。自動化できないため攻撃に使うには手間がかかるものの、「サードパーティー製ツールよりも検知されにくいだろう」(長谷川氏)。