セキュリティ

AppleとMetaが法執行機関になりすましたハッカーにユーザーデータを共有していたことが明らかに


AppleとFacebookの親会社であるMetaが、法執行機関になりすましたハッカーにユーザーデータを提供していたとBloombergが報じています。

Apple, Meta Gave User Data to Hackers With Forged Legal Requests (AAPL, FB) - Bloomberg
https://www.bloomberg.com/news/articles/2022-03-30/apple-meta-gave-user-data-to-hackers-who-forged-legal-requests


Apple and Meta shared data with hackers pretending to be law enforcement officials - The Verge
https://www.theverge.com/2022/3/30/23003600/apple-meta-shared-data-hackers-pretending-law-enforcement-officials

SNSのアカウント所有者や、特定の携帯電話で過去に利用されたインターネットのアドレスを知りたいという場合、アメリカでは裁判所による令状・召喚状が必要です。しかし、緊急時には令状・召喚状の発行を飛ばす「緊急データ要求(Emergency Data Requests:EDR)」を行うことが可能。このEDRを偽造したハッカーが、AppleおよびMetaから顧客の住所・電話番号・IPアドレスといったユーザーデータを取得していたことが、Bloombergの報道により明らかになりました。写真共有アプリ・Snapchatの開発元であるSnapも、同様の偽造されたEDRを受け取っていたことが明らかになっていますが、記事作成時点ではユーザーデータを提供していたかどうかは不明です。


サイバーセキュリティ研究者は、この偽造されたEDRを送信しているハッカーの一部がイギリスとアメリカの未成年者ではないかと疑っています。容疑者のひとりはMicrosoftSamsungをハッキングしたサイバー犯罪グループ・LAPSUS$の首謀者であると考えられている模様。

なお、イギリスのロンドン市警察がLAPSUS$の関係者と目される16~21歳の若者7名を逮捕していますが、首謀者の特定には至っていません。

MicrosoftやSamsungを攻撃したハッカー集団「LAPSUS$」に関連したとして16歳のティーンエイジャーを含む7人の若者が逮捕される - GIGAZINE


Bloombergの問い合わせに対して、Metaの広報担当者は「我々はすべてのデータ要求を法的に十分に検討し、高度なシステムとプロセスを使用して法執行機関の要求を検討し、不正使用を検出しようとしています。これと同様に、既知の侵害されたアカウントがリクエストを行うことをブロックし、法執行機関と連携し、不正なリクエストが疑われるものについて対応します」と回答。Appleは同社の法執行ガイドラインを提示し、Snapは法執行機関からの不正な要求を検出するための予防措置を講じていると回答しています。

調査に関与したという情報筋・3人によると、「Recursion Team」というサイバー犯罪グループに所属するハッカーが、2021年を通じて企業に送信された「偽造されたEDR」の背後にいると目されている模様。Recursion Teamは記事作成時点ではアクティブではありませんが、所属メンバーの多くはLAPSUS$などの別のハッキンググループに参加しているそうです。

調査に詳しい人物によると、偽造されたEDRを用いてハッカーが取得した情報は、特に金融詐欺計画を推進するために使用された可能性があるとのこと。別の関係者によると、偽造されたEDRを送信するキャンペーンはテクノロジー企業を対象に繰り広げられており、2021年1月にスタートしたとされています。偽造EDRには架空の法執行官の署名が含まれており、ある人物は「ハッカーが法執行機関のメールシステムを侵害することでEDRのテンプレートを入手した可能性がある」と指摘しています。


Appleは2020年7月から12月にかけて29カ国から1162件の緊急データ要求に準拠する要請を受けており、そのうち93%に対応しています。一方で、Metaは2021年1月から6月にかけて全世界で2万1700件の緊急データ要求に準拠する要請を受けており、そのうち77%に対応しています。

なお、ハッカーが偽造EDRを用いてユーザーデータを取得していることは、セキュリティ専門家のブライアン・クレブス氏が指摘したばかりでした。

ハッカーはIPSや通信会社の顧客データを盗むために偽の「緊急データ要求」を効果的に利用している - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
MicrosoftやSamsungを攻撃したハッカー集団「LAPSUS$」に関連したとして16歳のティーンエイジャーを含む7人の若者が逮捕される - GIGAZINE

Microsoftなどにハッキングを仕掛けたハッカー集団「LAPSUS$」の中心人物として10代の容疑者が浮上 - GIGAZINE

Microsoftのソースコードがハッカー集団「LAPSUS$」に盗まれ37GB分がネット上へ流出、Microsoftもハッキング被害を認める - GIGAZINE

数多くの大企業を襲って注目を集めるハッカー集団「LAPSUS$」がアクセス管理企業のOktaにハッキングを仕掛けたことが判明 - GIGAZINE

SamsungがGalaxyのソースコードを盗まれたことを認める、個人情報は流出していないと主張 - GIGAZINE

・関連コンテンツ

in セキュリティ, Posted by logu_ii

You can read the machine translated English article here.