Microsoft・Uber・NVIDIA・Rockstar Gamesなどの大企業にハッキングした国際ハッカー集団「LAPSUS$」の主要メンバーが10代の少年だと裁判所が認定

MicrosoftやUber、Nvidiaなどの大企業にハッキングし、Rockstar Gamesの人気タイトル「グランド・セフト・オートVI(GTA6)」のデータをリークしたことでも注目された国際ハッカー集団「LAPSUS$」の主要メンバーに、わずか18歳の少年がいたことをロンドンの裁判所が認定しました。

Teen Lapsus$ member was behind the leaked GTA 6 footage, London jury finds - The Verge
https://www.theverge.com/2023/8/23/23842746/lapsus-member-uber-rockstar-games-hack

Lapsus$ teen hackers convicted of high-profile cyberattacks
https://www.bleepingcomputer.com/news/security/lapsus-teen-hackers-convicted-of-high-profile-cyberattacks/

Court Finds That Teenage Hackers Were Central to Data Breaches of Uber, Nvidia, and Rockstar Games
https://gizmodo.com/hackers-lapsus-uber-nvidia-rockstar-games-microsoft-1850766324

LAPSUS$は2022年初頭から相次いで大企業へのハッキングを成功させた国際ハッカー集団であり、主なメンバーはイギリスとブラジルに住む10代の若者だったとみられています。LAPSUS$にハッキングされた企業にはNVIDIAやSamsung、Uber、T-Mobileなどが含まれており、国際的な大企業へのハッキングを10代の若者が成功させたことは世間に大きな衝撃を与えました。

ロンドン市警察は2022年3月に、LAPSUS$のハッキングに関与したとして16歳～21歳の若者7人を逮捕しました。

MicrosoftやSamsungを攻撃したハッカー集団「LAPSUS$」に関連したとして16歳のティーンエイジャーを含む7人の若者が逮捕される - GIGAZINE

ロンドン市警察に逮捕されたメンバーの中には、イギリスのオックスフォード出身でリーダーの1人とみられるArion Kurtajという人物がいました。「teapotuberhacker」というハンドルネームで活動するKurtajは、インターネットの使用を禁止するという条件で保釈されたものの、保釈中に滞在したホテルへAmazon Fire Stickを持ち込み、新たに購入したスマートフォンやキーボードでクラウドコンピューティングサービスにアクセスしたとのこと。

そして保釈中にもかかわらずRockstar Gamesへのハッキングを行い、開発中だったGTA6のデータをリークしました。これを受けて当時17歳だったKurtajは再び逮捕されています。

「グランド・セフト・オートVI」のデータを漏えいさせた17歳のハッカーが逮捕される - GIGAZINE

BBCによると、記事作成時点で18歳のKurtajは精神科医から自閉スペクトラム症と診断され、裁判に出廷するのに適していないと診断されたため、出廷しなかったとのこと。陪審員はKurtajが意図して罪を犯したのかどうかを考慮せず、検察によって主張された行為を行ったかどうかのみに焦点を当てて判断するように求められたそうです。

そしてロンドンのサザーク・クラウン裁判所は、Kurtajが恐喝や詐欺、コンピューター不正使用法などの12件の罪で有罪だと認定しました。また、LAPSUS$のメンバーでありKurtajと同じく自閉スペクトラム症を持つ17歳のメンバーも有罪判決を受けましたが、未成年のため名前は公開されていません。

LAPSUS$の特徴としては、ターゲットのSIMカードを乗っ取る「SIMスワッピング」を利用し、ターゲットのSMSや音声通話などを傍受して2段階認証を突破するソーシャルエンジニアリングを得意とした点が挙げられます。LAPSUS$は通信事業者の従業員に対し、最大で週2万ドル(約240万円)の報酬を支払って、SIMスワッピングに加担させていたと報じられています。

テクノロジー系メディアのGizmodoは、「何よりもLAPSUS$の事件は、サイバー犯罪者がほとんどの企業のセキュリティ対策を回避することがいかに簡単であるかを浮き彫りにしたようです」と述べ、10代のティーンエイジャーらが相次いで大企業へのハッキングを成功させたことがサイバーセキュリティの再考につながったと指摘。実際にアメリカ・国土安全保障省のサイバー安全審査委員会は8月に、LAPSUS$の活動について分析し、組織が実施するべき防御策についてまとめたレポートを発表しました。