LAPSUS$とは何者か?
ハッキンググループ「LAPSUS$」が、著名な標的に次々と攻撃を仕掛けて、悪名をはせている。LAPSUS$は、わずか数日の間に、MicrosoftやOktaなどの業界最大手からデータを盗んだことを明らかにした。
LAPSUS$が展開しているキャンペーンの目的は、身代金を要求し、支払わない場合は盗んだ情報を流出させると脅すことにあるようだ。ランサムウェアグループが、身代金の支払いを強要するために「二重脅迫」をするおなじみの手口だが、LAPSUS$の場合、データは暗号化されておらず、攻撃の一環としてランサムウェアが使用されている様子はないという。
それでも、攻撃が被害を及ぼしていないわけではない。Microsoft Securityは、脅迫の要求に屈しない被害者への攻撃に破壊的な要素があることが分かったとしている。
企業向けアイデンティティおよびアクセス管理サービスを提供するOktaは、LAPSUS$の最大の被害者だ。Oktaによると、攻撃者は顧客の約2.5%に相当する366社の情報にアクセスできた可能性があるという。
Oktaは米国時間3月22日に侵害されたことを明らかにした。1月に発生したセキュリティ侵害の試みを「封じ込めた」と述べている。LAPSUS$はシステムへのアクセスが可能であることを示すスクリーンショットを投稿した。サポートエンジニアのノートPCにアクセスできたとみられる。Oktaはブログで、考えられる顧客への影響は、サポートエンジニアが持つアクセスの範囲に限られていると説明している。しかし同社は、影響を受けた企業に連絡を取ったという。
また、MicrosoftもLAPSUS$に侵害されたことを確認した。同社は、攻撃者のアクセスが限定的だったと述べているが、ハッカーは「Bing」「Bing Maps」「Cortona」のソースコードが含まれるというtorrentファイルを投稿したとみられている。
LAPSUS$は、OktaとMicrosoftが被害に遭ったことで注目を集めているが、まったく新しいグループではない。2021年12月から活動しているとみられ、ここ数カ月間で多数の被害者が出ているようだ。
まず被害に遭った組織の1つはブラジル保健省だ。50TBを超えるデータが盗まれ、システムから削除されたと報じられた。その中には、症例、死亡者、ワクチン接種など、新型コロナウイルス感染症に関するデータが含まれていたという。システムが再稼働するまで1カ月間かかったようだ。
また最近、他にも多数のテクノロジー企業やゲーム企業が、LAPSUS$の被害に遭っている。NVIDIAが2月に、LAPSUS$が原因と考えられるセキュリティインシデントの犠牲になった。ハッキンググループは、従業員のパスワードなど、1TB以上のデータを盗んだと主張している。