Uber Claims No Sensitive Data Exposed in Latest Breach… But There’s More to This
2022/09/17 TheHackerNews — Uber が更新した情報だが、木曜日の遅くに発覚した社内コンピューター・システムの侵害により、ユーザーの個人情報が漏えいしたという証拠は無いと述べている。同社は、「我々は、このインシデントが、機密性の高いユーザーデータへのアクセスに関連しているという証拠はないと捉えている。Uber/Uber Eats/Uber Freight/Uber Driver アプリを含む、当社の全サービスは稼働している」と説明している。
このライド・ヘイリング会社は、予防措置として以前にダウンさせた、すべての内部ソフトウェア・ツールをオンラインに戻したと述べ、この件について法執行機関に通知したことを繰り返して述べている。
このインシデントにより、どのような情報が盗まれたのか、また、どれだけの時間にわたり侵入者は Uber ネットワーク内にいたのかは、すぐには明らかにならない。
Uber は、調査/対応の作業が進行中であると述べでいるだけであり、このインシデントが発生した状況/原因については、詳細な情報を提供していない。しかし、独立系セキュリティ研究者の Bill Demirkapi は、Uber の言う証拠は無いという姿勢に対して、大雑把 であると評している。
Demirkapi は、「証拠がないということは、攻撃者がアクセスしたことを意味し、機密性の高いユーザーデータにアクセスされた証拠が見つかっていないだけだ。ユーザーデータ全体ではなく、機密性の高いユーザーデータと、明示的に言っているのも変な話だ」と述べている。
この情報漏洩は、18歳のティーンエイジャー・ハッカーが単独で、Uber の従業員を騙してアカウントにアクセスさせ、被害者が多要素認証 (MFA) を受け入れるようにソーシャルエンジニアリングで誘導し、攻撃者自身のデバイスを登録できるようにすることで、発生したと言われている。
この攻撃者は、最初の足場を固めた後に、特権的な管理者資格情報を含む PowerShell スクリプトが、内部ネットワークで共有されていることを発見し、AWS/Google Cloud Platform/OneLogin/Slack などに加えて、SentinelOne インシデント対応ポータルへの全権的アクセスの許可も得た。
残念なことに、セキュリティ研究者の Sam Curry が明らかにしたように、この 10代のハッカーは、Uber のバグバウンティ・プログラムの一環として、HackerOne 経由で提出された非公開の脆弱性レポートも入手したと言われている。
その後に HackerOne は、Uber のアカウントを無効にする措置をとったが、このプラットフォーム上のパッチ未適用の脆弱性への不正アクセスを、他のハッカーに販売することで、すでに彼が利益を得ているならば、Uber にとって大きなセキュリティ・リスクとなる。
このハッカーが、Slack に投稿した情報漏洩を宣言するメッセージには、Uber のドライバーの賃金を上げるよう求める内容が含まれていたが、今のところ、攻撃者の動機は不明である。
The Washington Post の報道では、攻撃者は遊び半分で同社のネットワークに侵入したとし、また、数カ月のうちに同社のソースコードが流出するかもしれないと指摘している。それと同時に、Uber のセキュリティを “ひどい” と表現している。
BlackBerry の VP of Threat Research and Intelligence である Ismael Valenzuela Espejo は、「多くの場合、我々は国家に支援される APT などについてだけ話し、不満を持った従業員やインサイダー、そして、今回のハクティビストなどの、他の脅威要因について忘れがちである。組織は、脅威のモデリング演習の一環として、これらの要素を取り込み、企業を攻撃する動機をもつ人々や、彼らのスキル・レベルや能力、そして、分析から得られる影響について、判断していく必要がある」と述べている。
Uber を標的とした攻撃や、Twilio/Cloudflare/Cisco/LastPass などへの最近の一連の事件は、組織にとってソーシャルエンジニアリングが、いかに根強い棘であり続けているのかを物語っている。
また、従業員がログイン情報を共有するだけで、侵入が可能になることも示された。したがって、パスワードベースの認証がアカウント・セキュリティの弱点であることも証明された。
Elevate Security の President である Masha Sedova は、「企業のセキュリティは、最も脆弱な従業員に合わせることで、初めて向上すること明らかになった」と声明で述べている。彼は、「一般的なトレーニングに留まらず、最もリスクの高い従業員に対して、より具体的な保護策を講じる必要がある。サイバー・セキュリティを技術的な課題としてのみ捉え続ける限り、私たちはこの戦いに敗れ続けるだろう」と付け加えている。
今回のようなインシデントは、認証アプリで生成され、SMS メッセージで送信される、タイムベースのワンタイムパスワード (TOTP) コードが、2FA の弱点を保護するには不十分であることの証左でもある。
このような脅威に対抗する1つの方法は、フィッシングに強い FIDO2 準拠の物理セキュリティ・キーの使用である。
Demirkapi は、「MFA プロバイダーは、短時間にあまりにも多くのプロンプトが送信された場合に、一時的にアカウントを自動ロックアウトすることを、デフォルトとすべきだ」と述べ、特権的なアクセスを制限するよう組織に促している。
この Uber のインシデントですが、どのメディアも辛口のコメントを掲載しているように思えます。事後の対応に問題があったのかもしれません。The Washington Post のようなメディアに、”ひどい” と酷評されてしまっています。こうなると、機密性の高いユーザーデータへのアクセスの証拠はないと言っても、なかなか信用してもらえないでしょう。同じく 9月17日の「LastPass のシステムで発生した不正侵入:4日間にわたる不正アクセスが判明」では、第三者機関として Mandiant が参加したことが述べられていましたが、こうした対応も今後は必要なってくるのだろうと感じます。なお、FIDO2 ですが、8月9日の「Cloudflare の従業員に SMS フィッシング攻撃:Twilio の二の舞にならなかった理由は?」に、その効果が記されています。
IoT OT Security News 
You must be logged in to post a comment.