セキュリティ

Uberが内部システムへの侵入を許したハッキング被害の詳細を報告、「GTA6」の映像をリークしたハッカーが関与か


Uberは現地時間の2022年9月15日、内部システムが何者かによるハッキングを受けたことを報告しました。9月19日にはハッキング被害についての最新情報が報告され、ハッカーの手口やUberの対応、流出した可能性のあるデータなどが明らかになっています。

Security update | Uber Newsroom
https://www.uber.com/newsroom/security-update/

Uber links breach to Lapsus$ group, blames contractor for hack
https://www.bleepingcomputer.com/news/security/uber-links-breach-to-lapsus-group-blames-contractor-for-hack/

Uber admits 'several internal systems' breached, blames gang • The Register
https://www.theregister.com/2022/09/19/uber_admits_breach/

Uberに対する9月15日のハッキングでは、ハッカーは社内Slackで「私はハッカーであり、Uberがデータ侵害に遭ったことを発表する」というメッセージを送信したほか、侵害した内部システムのリストを公開したとのこと。また、ハッカーはUberのOpenDNSを再構成し、一部の内部サイトでわいせつ画像が表示されるようにしたと報じられています。

Uberがハッキング被害に、ハッカーが社内Slackに侵入して攻撃宣言&わいせつ画像爆撃を仕掛ける - GIGAZINE


そして9月19日、Uberは今回のハッキング被害に関する最新情報を公式サイトで報告しました。まず、今回のハッキングはUberの請負業者の個人用デバイスにマルウェアが感染し、Uberの企業アカウントの資格情報がダークウェブで販売されたことが発端だったとのこと。

ハッカーは資格情報を購入してログインを試みましたが、2要素認証が設けられていたためブロックされました。ところが、何度もログイン試行が行われる中で最終的に請負業者が2要素認証を受け入れてしまったため、ハッカーはUberの社内システムにログインできたとのこと。その後、ハッカーはその他の従業員アカウントにもアクセスし、G-SuiteやSlackなどのツールに対するアクセス許可を取得して、Slackへのメッセージ投稿や内部サイトでのわいせつ画像表示などの攻撃を実施しました。


一連のハッキングに対し、Uberは既存のセキュリティ監視システムによって問題を迅速に特定して対応したとのこと。「私たちの最優先事項は、ユーザーデータの安全性とUberのサービスが影響を受けていないことを確実にするため、攻撃者が私たちのシステムにアクセスできないようにすることでした」と、Uberは述べています。

Uberがとったという主な対応は以下の通りです。

・侵害された、または侵害される可能性のある従業員アカウントを特定し、Uberシステムへのアクセスをブロックするかパスワードのリセットを要求した。
・影響を受ける、または影響を受ける可能性のある内部ツールを無効にした。
・多くの内部サービスでアクセスキーを切り替え、アクセスを効果的にリセットした。
・コードベースをロックダウンして、新たなコード変更を防止した。
・内部ツールへのアクセスを復元する際は従業員の再認証を要求し、多要素認証ポリシーを強化した。
・内部環境の監視を追加し、疑わしいアクティビティを注視した。


まず攻撃者のアクセスを遮断した後、Uberはハッキングによる被害状況の調査を始めました。セキュリティレポートの更新時点でも調査は進行中とのことですが、ユーザー向けアプリのシステムにアクセスした形跡は見当たらず、ユーザーのアカウント・クレジットカード番号・銀行口座情報・旅行履歴の侵害も確認されていないとUberは報告しています。また、コードベースの変更やクラウドプロバイダーに保存された顧客・ユーザーデータへのアクセスも確認されていないとのこと。

一方、ハッカーはいくつかの内部Slackメッセージをダウンロードしたほか、財務チームが請求書管理に使う内部ツールからも情報をダウンロードしたことが確認されています。また、セキュリティ研究者がバグや脆弱(ぜいじゃく)性を報告する報奨金プラットフォーム・HackerOneのダッシュボードにもアクセス可能だったそうですが、「攻撃者がアクセスできたバグレポートはすべて修正されています」とUberは述べています。

Uberはセキュリティレポートにおいて、「ハッキング攻撃が行われた間も、Uber・Uber Eats・Uber Freightの一般向けサービスの運用を維持し、スムーズに稼働させることができました。一部の社内ツールを停止したためカスタマーサポート業務は最小限の影響を受けましたが、現在は通常通り稼働しています」と主張。また、「この件に関して、UberはFBIおよびアメリカ司法省と緊密に連携しており、今後も取り組みを支援していきます」と述べ、将来の攻撃からUberを保護するポリシーやプラクティスの強化にも努めていくと表明しました。

今回の攻撃を行ったハッカーは、MicrosoftNVIDIASamsungなどの大企業にハッキングを仕掛けた国際的ハッカー集団「LAPSUS$」のメンバーであり、「teapots2022(teapotuberhacker)」という自称18歳の人物だと指摘されています。さらにteapotuberhackerは、開発中の「グランドセフトオート6(GTA6)」のテストプレイ映像やコードを流出させたことも報じられています。

開発中の「グランドセフトオート6」のデータがハッキングによって流出、開発会社は流出データが本物であると認める - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
Uberがハッキング被害に、ハッカーが社内Slackに侵入して攻撃宣言&わいせつ画像爆撃を仕掛ける - GIGAZINE

10代の若者が中心の国際的ハッカー集団「LAPSUS$」が通信大手・T-Mobileのソースコードを盗んだと判明 - GIGAZINE

国際的ハッカー集団「LAPSUS$」によるハッキング被害の調査結果をアクセス管理企業のOktaが報告 - GIGAZINE

数多くの大企業を襲って注目を集めるハッカー集団「LAPSUS$」がアクセス管理企業のOktaにハッキングを仕掛けたことが判明 - GIGAZINE

Uberが5700万人の乗客・ドライバーの個人情報を流出させてハッカーに金を払っていた件が明るみに - GIGAZINE

5700万人分の個人情報窃盗を隠蔽するためハッカーに口止め料を支払ったUber元幹部が告訴される - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.