セキュリティ

Microsoftのソースコードがハッカー集団「LAPSUS$」に盗まれ37GB分がネット上へ流出、Microsoftもハッキング被害を認める


2022年3月初旬に大手半導体メーカーのNVIDIAと家電メーカーのSamsungをハッキングし、機密情報を盗み出したことで一躍有名になったハッキンググループが「LAPSUS$」です。そのLAPSUS$が新たにMicrosoftをハッキングしたと主張していたのですが、これに続く形でMicrosoftが独自の調査結果を発表し、LAPSUS$によるハッキングの詳細を明かしました。

DEV-0537 criminal actor targeting organizations for data exfiltration and destruction - Microsoft Security Blog
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/

Microsoft confirms Lapsus$ hackers stole source code via ‘limited’ access - The Verge
https://www.theverge.com/2022/3/22/22991409/lapsus-microsoft-security-windows-source-code

現地時間で2022年3月20日、LAPSUS$はTelegram上にMicrosoftの内部ソースコードリポジトリのスクリーンショットを投稿し、Azure DevOpsサーバーをハッキングしたと主張しました。

LAPSUS$ extortion group has released source code to Bing, Bing Maps, and Microsoft Cortana.

They state that each release is incomplete (not the entire source code).

— vx-underground (@vxunderground)


そして現地時間の3月22日、Microsoftは自社のセキュリティブログ上でLAPSUS$から受けたハッキングの詳細を発表しています。これによると、MicrosoftはLAPSUS$を「DEV-0537」という脅威アクターとして呼称しており、独自にその活動を観察し続けてきたそうです。Microsoftによると、DEV-0537はランサムウェアのペイロードを展開せずに純粋な恐喝および破壊モデルを使用することで知られており、イギリスと南米の組織をターゲットにサイバー攻撃を行ってきましたが、最近になって攻撃の範囲を政府・テクノロジー・テレコム・メディア・小売・ヘルスケアなどさまざまな分野に拡大してきたとのこと。なお、LAPSUS$は仮想通貨取引所経由でユーザーアカウントを乗っ取り、保有する仮想通貨を盗み出すことでも知られています。


Microsoftによると、DEV-0537のサイバー攻撃はソーシャルメディア上で攻撃の意図を公表したり、標的組織の従業員から資格情報を購入する意図があることを宣伝したりと、これまでになくアグレッシブなものであるとのこと。また、DEV-0537はMicrosoftが活動を注視している他の脅威アクターが見せない独自の戦術をいくつか駆使しているそうで、そのひとつが電話ベースのソーシャルエンジニアリングだそうです。ユーザーアカウントの乗っ取りを容易にするためにSIMカードを物理的に盗んだり、標的組織の従業員がプライベートで使用しているメールアカウントに直接アクセスしたり、資格情報や多要素認証を入手するために標的組織の従業員やサプライヤー、ビジネスパートナーに金銭的な報酬を提示したりなど、その方法は多岐にわたる模様。

以下は、LAPSUS$が企業の情報提供者に対して「報酬を支払う用意がある」と伝えたTelegramの投稿のスクリーンショット。


Microsoftによると、DEV-0537はサイバー攻撃の起点となるユーザーアカウント情報をさまざまな方法で入手しており、ソーシャルエンジニアリングを用いた方法としては「多要素認証プロンプトを使用して攻撃の対象となるユーザーにスパムメールを送信する」や「組織のヘルプデスクに連絡して攻撃の対象となるユーザーの資格情報をリセットする」といったものもある模様。そして、この盗み出したユーザーアカウントの資格情報を介して組織のサイバーシステムへのアクセスを強化し、標的組織のデータを盗難・破壊できるようにした上で、組織に対して身代金を要求する恐喝を行うようです。そのため、「DEV-0537はデータの盗難と破壊により動機づけられたサイバー犯罪者である」とMicrosoftは断定しています。

MicrosoftはDEV-0537が同社から盗み出したデータには顧客に関するコードやデータは含まれていなかったと主張。また、Microsoftはセキュリティ対策として「自社で使用するコードの機密性に依存していない」と主張しており、一部のソースコードが漏えいしたとしても、セキュリティ上のリスクが高まることはないとも主張しています。また、DEV-0537の活動に伴い、サイバー攻撃の起点とされたと思しきユーザーアカウントのアクセスが制限されており、Microsoftのサイバーセキュリティ―チームが侵害されたアカウントに対して迅速に対応したとのこと。

一方、LAPSUS$はBingとCortanaのソースコードの約45%ずつ、Bing Mapのソースコードの約90%含む、250以上のプロジェクトに関するソースコードを盗み出したと主張しており、このうち約37GB分のソースコードをインターネット上に公開しています。このデータがMicrosoftのものであるか否かの真偽は不明であるものの、リークされたファイルを調査したセキュリティ研究者は、テクノロジーメディアのBleeping Computerに対して「Microsoftの正当な内部ソースコードのようだ」と語っています。

以下の画像はLAPSUS$が公開したデータの一部で、フォルダー名に「Bing Map」や「Cortana」といったMicrosoftの製品名が確認できます。


・つづき
Microsoftなどにハッキングを仕掛けたハッカー集団「LAPSUS$」の中心人物として10代の容疑者が浮上 - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
NVIDIAが機密情報をハッキンググループに盗まれたことを認める、「GPUのマイニング制限を撤廃しろ」との脅しも - GIGAZINE

Samsungが190GB分の機密データをハッキングされる - GIGAZINE

SamsungがGalaxyのソースコードを盗まれたことを認める、個人情報は流出していないと主張 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.