2022年2月から3月にかけて、「Lapsus$」と名乗るサイバー犯罪者集団が話題をさらった。米マイクロソフトやエヌビディア、ID管理クラウド最大手の米オクタ、韓国サムスン電子など、大手IT企業を次々と攻撃して侵入したからだ(図1)。
幸いにも、Lapsus$による日本の企業や組織への攻撃は2022年3月末時点で確認されていない。2022年3月下旬には、リーダー格の1人が英国で逮捕されたとの報道も出た。英BBCなどによれば、ロンドン市警が2022年3月22日(英国時間)、ハッキングの捜査に関連して16~21歳の7人を逮捕した。市警は明言していないものの、7人の中にLapsus$のリーダー格が含まれていたとみられる。
ただ、油断はできない。サイバー攻撃やマルウエアに詳しいゴーアヘッドのテクニカル・セキュリティー・アドバイザーである長谷川 達也氏は、「Lapsus$は最近目立つランサムウエア攻撃とは異なる手口を駆使していた」と指摘する。
Lapsus$の活動が停滞したとしても、別の犯罪者集団が手口をまねる可能性もある。企業はLapsus$の手口を理解し、自社の防備を再点検しておくべきだろう。
私用アカウントに不正侵入
Lapsus$の特徴的な手口とはどのようなものか。長谷川氏は大きく2つ挙げる。
1つは、マルウエアに頼らず、人を「攻撃」して侵入の足がかりとする「ソーシャルエンジニアリング」などの手法を駆使して認証を突破してくる点だ。標的企業や取引先企業の従業員に「協力」を呼びかけたり、闇サイトで販売されている認証情報を調達したりして、正規のユーザーになりすまして侵入しているという。
マイクロソフトが調査しブログに公表した内容によれば、Lapsus$は従業員の私用アカウントなどに不正侵入し、多要素認証の突破に必要な情報を入手するケースもあった(図2)。
これは、多要素認証の2つ目の認証手段(ワンタイムパスワードなど)や認証用パスワードを忘れたときの救済手段として、従業員の私用アカウントや携帯電話番号を使うケースがある点に着目したものと考えられる。私用アカウントから盗み出した認証情報を使って、標的企業の認証を突破するわけだ。
このような手口を使われると、たとえ多要素認証を導入していても不正侵入を防げるとは限らない。正規ユーザーになりすまされているので、不審な動きにも気づきにくい恐れがある。
