Uber で生じたデータ侵害:Lapsus$ によるソーシャル・エンジニアリングが侵入経路?

Uber links breach to Lapsus$ group, blames contractor for hack

2022/09/19 BleepingComputer — 先週にサイバー攻撃に遭った Uber だか、その背後にいるハッカーについて、Microsoft/Cisco/NVIDIA/Samsung/Okta などの著名ハイテク企業を侵害したとされる、Lapsus$ グループに関連すると考えているようだ。この攻撃者は、盗み出した Uber EXT 契約者の認証情報を用いて、その契約者たちに 2FA ログインを要求し、誰かが受け入れるまで、MFA 疲れ攻撃を行ったと、同社は述べている。

このソーシャル・エンジニアリングの手口は好まれており、Twitter/Robinhood/MailChimp/Okta などを標的とした、最近の攻撃でも使用されている。

Uber は、「攻撃者は、そこから複数の従業員アカウントにアクセスし、最終的に G-Suite や Slack などのツールで、権限昇格を実施していった。続いて、攻撃者は、全社的な Slack メッセージを投稿した。それは、Uber の OpenDNS を再設定し、従業員にグラフィック画像を表示するものだった」と、声明を更新している。

ただし、この脅威アクターが、個人情報や財務データ (ユーザーのクレジットカード番号/銀行口座情報/健康データ/旅行履歴など) を含む、機密情報を保存するプロダクション・システムにアクセスできたという証拠は見つかっていないと、同社は付け加えている。

Uber は、この種の手口を用いた侵害を防ぐために、以下のような対策を講じたと述べている。

  • 漏洩しの可能性がある従業員アカウントを特定し、Uber システムへのアクセスをブロックもしくはパスワード・リセットの実施。
  • 影響を受けた可能性のある多くの社内ツールの無効化。
  • 多くの社内サービスのキー・ローテーション (アクセス権のリセット) の実施。
  • コードベースのロックダウンと、新たなコード変更の防止。
  • 社内ツールへのアクセスを回復する際の再認証の要求。
  • 多要素認証 (MFA) ポリシーの強化。
  • 内部環境の監視を追加し、不審な動きを注意深く見守る。

Uber は、「全体を通して、Uber/Uber Eats/Uber Freight などの、一般向けサービスの稼働とスムーズな運用を維持できた。一部の社内ツールを停止したことで、カスタマー・サポート業務への影響は最小限にとどまり、現在は通常通り稼働している」と述べている。

脆弱性レポートへのアクセスを確認

この攻撃者がコードベース内にアクセスし、悪意のコードを注入したという証拠は、現時点では発見されていないと、Uber は述べている。

Uber は、「まず第一に、当社のアプリを動かすプロダクション・システムや、ユーザーのアカウント/クレジットカード番号/銀行口座情報/旅行履歴などの、ユーザー情報を保存しているデータベースに、攻撃者がアクセスしたという事実は確認されていない。また、クレジットカード情報や個人の健康データを暗号化することで、さらなる保護を提供している」とは述べている。

さらに同社は、「私たちはコードベースを確認したが、攻撃者による何らかの変更などは確認されていない。また、当社のクラウド・プロバイダー (AWS S3 など) が保管するユーザー・データなどに、攻撃者がアクセスしたことも確認されていない」と付け加えている。

ただし、この侵入により、Uber の財務チームにおける請求書の一部や、HackerOne の脆弱性レポートなどの、機密情報へのアクセスが生じる結果となったようだ。

同社は、「攻撃者がアクセスしたバグレポートはすべて改善された」と述べている。その後に HackerOne が、Uber のバグバウンティ・プログラムを無効にしたことで、公開された Uber の脆弱性へのアクセスは遮断された。

ただし、情報筋からの話によると、脅威者は Uber のバグバウンティ・プログラムへのアクセスを失う前に、修正待ちの報告も含めて、すべての脆弱性レポートを流出させることが可能だったという。したがって、同社に深刻なセキュリティ・リスクが生じる可能性がある。つまり、この脅威アクターが、一連の脆弱性レポートを販売して現金化し、他の脅威アクターが使用できるようにしたとしても、驚くには値しないだろう。

この攻撃者 (通称 teapots2022) は teapotuberhacker の名前で、ゲームスタジオ Rockstar Games を侵害したことも主張している。その証拠として、Grand Theft Auto V と Grand Theft Auto VI のソースコードの、スクリーンショットを流出させている。

この、Uber で起こったインシデントに関しては、9月17日の「Uber が主張する機密情報へのアクセスの証拠は無い:しかし無事だという証拠も無い」でお知らせしています。そして、その後の調査により、攻撃者と Lapsus$ グループの関連性が観えてきたようです。前回の記事には、「このハッカーが、Slack に投稿した情報漏洩を宣言するメッセージには、Uber のドライバーの賃金を上げるよう求める内容が含まれていた」と記されていましたが、この要求が本当なら、なんとなく Lapsus$ っぽいとも思えてきます。2022年2月〜4月に、活発に動いていた Lapsus$ ですが、その後は沈静化して、8月の「Cisco で発生した8月のデータ侵害:Lapsus$ ランサムウェア・グループとの関連性」しているようです。

%d bloggers like this: