10代の少年たちで構成された最悪のハッカー集団「LAPSUS$」はNVIDIAやMicrosoftにどうやってハッキングをしかけたのか？

MicrosoftやUber、NVIDIAなどの企業にハッキングし、Rockstar Gamesの「グランド・セフト・オートVI(GTA6)」のデータをリークしたことで知られるハッカー集団「LAPSUS$」の主要メンバーが18歳の少年だったことが判明し、主に10代の少年で構成されたグループであったことが明らかとなりました。捜査が進んで裁判が行われる中で、このLAPSUS$がどのようにして大企業のネットワークをハッキングしていたのかが少しずつ明らかになっています。

LAPSUS$ teen hackers convicted of high-profile cyberattacks
https://www.bleepingcomputer.com/news/security/lapsus-teen-hackers-convicted-of-high-profile-cyberattacks/

GTA 6 Leaker Hacked Rockstar With An Amazon Fire Stick In Hotel
https://kotaku.com/gta-6-rockstar-leak-hacker-amazon-fire-stick-hotel-1850770299

GTA6のデータをリークした少年はハッカー集団「LAPSUS$」の主要メンバーで、これまでにもUberやNVIDIAなどにサイバー攻撃をしかけたことで知られています。逮捕・起訴された少年はLAPSUS$の主要メンバーで、逮捕された時は17歳でした。

「グランド・セフト・オートVI」のデータを漏えいさせた17歳のハッカーが逮捕される - GIGAZINE

また、この逮捕された少年の他に、別の17歳の少年もLAPSUS$の主要メンバーとして別件で逮捕され、有罪判決を受けています。BBCによると、少年らは2021年7月にオンラインで知り合い、ハッカー集団として活動を始めたとのこと。少年は関係者から支援を受けながら、携帯電話企業や通信キャリアのサーバーをハッキングしてデータファイルにアクセスし、2021年8月に400万ドル(約5億8000万円)の身代金を要求しました。この身代金は支払われませんでしたが、少年らはデータファイルから盗み出したSIMの情報を使用し、仮想通貨のウォレットから総額10万ポンド(1800万円)を盗み出しました。

また、LAPSUS$は2021年12月にブラジル保健省に対してランサムウェア攻撃をしかけ、ブラジル国内の新型コロナウイルスワクチン接種データ数百万件を盗んだことが判明しています。LAPSUS$は他にも経済省や連邦会系検査局、高速道路警察などの連邦政府組織にサイバー攻撃を行っており、後にブラジルに居住するLAPSUS$の主要メンバーがブラジルの警察によって逮捕されました。

2022年1月に少年は一度逮捕されましたが、釈放されました。しかし、少年らは釈放直後の2022年2月にNVIDIAのネットワークに不正にアクセスし、機密データを盗んでリークしました。少年らは不正アクセスするため、非合法に雇った人物に従業員のふりをさせ、NVIDIAのログイン情報を入手するように指示したり、本物の従業員の電話へ深夜にアクセス承認リクエストを要求するスパムメールを大量に送信させたりしたことが警察の捜査によって明らかになっています。少年らは盗み出したデータを公開するとNVIDIAに脅迫し、身代金の支払いを要求しました。

また、2022年3月にはMicrosoftやVodafone、Samsungなどのネットワークにアクセスし、ソースコードを盗み出しています。その手口は「ソーシャルエンジニアリング」というもので、Microsoftの場合は「パスワードを盗み出すツールを導入してパスワードとセッショントークンを取得する」「アンダーグラウンドの犯罪フォーラムから認証情報とセッショントークンを購入する」「Microsoftの社員に報酬を支払って認証情報へのアクセス権限を得る」といった方法が使われたそうです。

2022年3月に再逮捕される直前、少年はライバルのハッカーによって個人情報をインターネット上に暴露されてしまいました。ソーシャルメディアに少年やその家族の連絡先や写真が公開されてしまったため、身柄の安全を守るため、少年は再逮捕後にホテルへ移送されました。なお、警察と協力しながらLAPSUS$を追いかけていたサイバーセキュリティの専門家は、少年の個人情報が暴露される少し前から少年の身柄を特定していたそうです。

少年はホテルで保護されている間、インターネットへのアクセスが禁止されていました。しかし、ロンドン市警がホテルの部屋を捜索した際に少年が使っていたホテルのテレビにAmazon Fire TV Stickが刺さっていたことが判明し、さらにスマートフォンとキーボード、マウスが発見されました。

少年はAmazon Fire TV Stickを使ってホテルからクラウドコンピューティングサービスに侵入し、LAPSUS$の他メンバーと協力しながらRevolut、Uber、Microsoft、Rockstar Gamesのネットワークに不正にアクセス。さらにRockstar Gamesの社内Slackには「私は従業員ではなく攻撃者だ。GTA6のデータをすべてダウンロードした。Telegramで連絡をよこさなければ、そのソースコードを公開する」と投稿しました。社内Slackに直接攻撃者が名乗り出て脅迫するという手口は「最も大胆なハッキング」と報じられました。

GTA6のデータは実際にムービーとスクリーンショットという形でファンフォーラムに投稿され、Rockstar Gamesはこれが本物であることを認めています。

開発中の「グランドセフトオート6」のデータがハッキングによって流出、開発会社は流出データが本物であると認める - GIGAZINE

2022年9月にホテルから不正アクセスをしていた少年が再逮捕され、さらにロンドン市警がLAPSUS$の関係者とみられる7名を逮捕したことで、LAPSUS$は活動を停止しました。アメリカのサイバーセキュリティ・社会基盤安全保障庁(CISA)はLAPSUS$をはじめとする10代のハッカーの脅威に対抗するためにはサイバー防御を改善する必要があると(PDFファイル)警告しました。

検察側の主任弁護士であるケビン・バリー氏は、少年らが「攻撃相手に自分の手柄をアピールしたい青少年の願望」を示したと主張しています。ハッカーは自身が犯した罪を功績としてアピールするため、関連するフォーラムやSlackなどに攻撃的なメッセージを残すことがよくあります。少年たちは定期的に自分たちの犯罪を公にアピールし、TelegramにあるLAPSUS$の公式アカウント上で英語とポルトガル語を使いながら被害者の企業をあざ笑っていたそうです。

なお、BBCによると、少年の父親は「少年はコンピューターの扱いがとても上手で、多くの時間をコンピューターに費やしていました。私は彼がいつもゲームをしているのだと思っていました」と述べています。