比較的新しいサイバー犯罪グループが、独自の戦術と複数の大手組織への攻撃成功により、急速に悪名を高めています。「Lapsus$」として知られるこのグループは、ソーシャルエンジニアリングを駆使して標的を定め、Samsung、Okta、NVIDIA、Microsoftといった企業を標的にしていると報じられています。Microsoftは火曜日に公開したブログ記事で、このグループの戦術と手法に関する洞察を提供し、組織をこれらの攻撃から守るためのヒントを提供しています。
参照: Google Chrome: 知っておくべきセキュリティと UI のヒント (TechRepublic Premium)
マイクロソフトがDEV-0537とも呼称するLapsus$は、典型的なランサムウェアのペイロードに依存せず、恐喝と破壊を目的とした攻撃モデルを用いています。このグループは、潜在的な被害者を搾取するために、複数の種類のソーシャルエンジニアリング手法を用いています。
ラプサス$の戦術
Lapsus$は、SIMスワッピングを介した電話ベースのソーシャルエンジニアリングを用いて被害者の携帯電話を乗っ取るという戦術を駆使します。SIMスワッピングでは、犯罪者は携帯電話会社の従業員を説得、あるいは賄賂を渡して、被害者の電話番号を攻撃者が所有するSIMカードに変更させます。その後、多要素認証の要求はすべて通話またはテキストメッセージで犯罪者の携帯電話に送信され、被害者のアカウントを乗っ取ることが可能です。
Lapsus$は別の戦術として、誰かの個人アカウントやプライベートアカウントを侵害し、仕事関連のアカウントにアクセスしようとします。従業員は、パスワードの回復やMFAの手段として個人アカウントや電話番号を使用することが多く、犯罪者がパスワードをリセットしたりアカウントを乗っ取ったりする隙を与えてしまいます。
場合によっては、ギャングのメンバーが組織のヘルプデスクに電話をかけ、サポート担当者に特権アカウントの認証情報をリセットするよう説得を試みることがあります。説得力を高めるため、グループはアカウントに関して以前に収集した情報を利用し、英語を話せる人物にヘルプデスク担当者と話をさせます。
Lapsus$は、さらに別の戦術として、アカウント認証情報やMFA情報へのアクセスを金銭と引き換えに提供してくれる従業員やビジネスパートナーを募集しています。Microsoftのブログには、コールセンター、携帯電話会社、大企業の従業員を募集し、VPNまたはCitrixネットワークへのアクセスを金銭と引き換えに提供してくれるLapsus$の広告例が掲載されています。
Lapsus$は、これらのソーシャルエンジニアリングの手口に加え、アカウント、ネットワーク、その他の機密資産へのアクセスを、より伝統的な方法で実行します。このグループは、ダークウェブ上のフォーラムから認証情報やトークンを購入し、公開されているコードリポジトリをスキャンして公開されている認証情報を探し、Redlineと呼ばれるパスワードスティーラーを使用してパスワードやトークンを取得します。
さらに、Microsoftによると、Lapsus$はConfluence、JIRA、GitLabなどのWebベースツールのセキュリティ上の欠陥を悪用しようとするとのことです。これらのツールをホストするサーバーに侵入することで、同グループは特権アカウントの認証情報を取得し、ntdsutilと呼ばれるMicrosoft組み込みコマンドを使用して標的ネットワークのActive Directoryデータベースを抽出しようとします。
参照: パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
同様に、Lapsus$はAD Explorerと呼ばれるActive Directoryツールを使用して、ネットワークドメイン内のすべてのユーザーとグループの名前を収集します。どのアカウントに高い権限が付与されているかを特定した後、グループはSharePoint、Confluence、JIRA、GitLab、GitHubなどのプラットフォームを検索し、さらに高い権限を持つアカウントの認証情報を探し出し、それらを介して追加の機密データにアクセスします。
マイクロソフトによると、2021年12月に出現したLapsus$は、当初南米の通信、高等教育、政府機関を標的としていた。初期の攻撃では、暗号資産アカウントを侵害してデジタルウォレットを盗むことが多かった。その後、このグループは世界中に活動範囲を拡大し、製造、小売、医療などの分野の組織を攻撃している。
このグループの被害者として特に目立ったのは、マイクロソフト自身だ。同社は、Lapsus$によって侵害されたアカウントが1つ見つかり、グループが限定的なアクセス権限しか得られなかったと発表している。Lapsus$はソースコードの一部を盗み出したと主張しているが、マイクロソフトは侵害によってコードやデータは漏洩していないと述べている。
Lapsus$の被害者にならない方法
組織が Lapsus$ 攻撃から自らを保護できるように、Microsoft は次のアドバイスを提供しています。
- MFA を必須とする。Lapsus$ が使用する SIM スワップ戦術は MFA を阻止するように設計されていますが、このタイプの認証は依然として必須です。信頼できる場所やオンプレミスシステムのユーザーを含む、あらゆる場所のすべてのユーザーに MFA を必須とする必要があります。
- 電話ベースおよびSMSベースのMFAは避けてください。Lapsus$が採用している方法を考慮すると、電話やSMSメッセージでユーザーを認証するMFAには依存しないでください。代わりに、FIDOトークンや番号照合機能を備えたMicrosoft Authenticatorなど、より安全な方法を使用してください。
- Azure AD のパスワード保護を使用してください。このタイプの保護により、ユーザーが単純なパスワードや推測しやすいパスワードを使用することがなくなります。詳細については、Microsoft のパスワードスプレー攻撃に関するブログ投稿をご覧ください。
- 他のパスワード認証ツールを活用しましょう。Windows Hello for Business、Microsoft Authenticator、FIDOトークンなどの方法は、パスワードに伴うリスクを軽減できます。
- VPN認証を見直しましょう。リスクベースのサインイン検出に対応するには、Azure ADに接続されたOAuthやSAMLなどのオプションを活用したVPN認証を使用する必要があります。Microsoftによると、このタイプのVPN認証はLapsus$による攻撃に対して効果的であることが実証されています。
- クラウドセキュリティを監視および確認します。これは、条件付きアクセスのユーザーおよびセッションのリスク構成を確認し、テナント構成におけるリスクの高い変更に対してアラートを実装し、Azure AD Identity Protection でのリスク検出を確認することを意味します。
- 全従業員にソーシャルエンジニアリング攻撃について教育してください。IT部門とヘルプデスクのスタッフには、不審なユーザーや同僚との不審なコミュニケーションに注意するよう教育してください。パスワードリセットに関するヘルプデスクのポリシー、特に高い権限を持つユーザー向けのポリシーを見直してください。さらに、ヘルプデスクからの不審なコミュニケーションや不審なコミュニケーションがあった場合は、ユーザーに報告するよう促してください。
- Lapsus$による侵入の可能性に備えて、セキュリティプロセスを構築してください。Lapsus$は、インシデント対応のためのコミュニケーションを戦略の一つとして監視しています。そのため、これらの種類のコミュニケーションチャネルに不正な参加者やアクセスがないか監視する必要があります。
