Uberがサイバー攻撃を受けた。社内のコードベースを変更された証拠はないが、攻撃者はSlackや脆弱性レポート、財務データへのアクセスに成功した。Uberは多要素認証を導入しているものの、突破されてしまった。なぜだろうか。
ライドシェアとフードデリバリーを手掛けるUber Technologiesは2022年9月15日(注1)、「広範囲なサイバー攻撃を受けたものの、同社の本番環境やユーザーアカウント、機密情報の保存に使用しているデータベースには攻撃が届かなかった」と発表した。だが実際に攻撃は成功していたのだ。
同9月19日のセキュリティアップデート(注2)の発表時点では、コードベースを変更された証拠は見つからず、クラウドサービスプロバイダーに保存していた顧客やユーザーのデータには不正アクセスがなかったと述べた。
しかし、攻撃者は社内向けSlackのメッセージやUberの財務チームが請求書を管理するために使用しているツールのデータ、さらには脆弱(ぜいじゃく)性レポートを保管しているHackerOneのダッシュボードにアクセスして情報を流出させたという。
「攻撃者がアクセスした脆弱性レポートは全て修正済だ」と同社は続報で発表している。
Uberは最初の調査の後、攻撃者がUber契約者のアカウントを侵害したと発表した。同社によると、個人のデバイスがマルウェアに感染して認証情報が流出した後、ダークウェブでその個人が使っていたUberの法人パスワードを攻撃者が購入した可能性が高いという。
攻撃はどのように始まったのだろうか。
攻撃者は「多要素認証疲労攻撃」を用いた。まず、契約者のUberアカウントに繰り返しログインし、二要素認証の認証要求をユーザーに何度も送り付けた。この流れで契約者が誤ってログインを承認してしまったため、攻撃者のログインが成功してしまった。
Uberは今回のサイバー攻撃について、恐喝グループ「Lapsus$」に属する攻撃者を犯人と特定した。この攻撃者はCisco Systems(注3)やNVIDIA(注4)、Microsoft、Okta(注5)、Samsung、Rockstar Gamesへの攻撃を実行している。
FBIや司法省と、復旧対応作業を緊密に調整していると、Uberは述べた。同社はまた、サイバーポリシーや社内手続き、対抗技術を強化し、防御を向上させることを約束した。
Uberのサービスは今回の攻撃による影響を受けておらず、引き続き稼働している。同社はコメント要請に対してまだ返答していない。
「攻撃者はUber法人パスワードでログインした後、他の複数の従業員アカウントにアクセスし、昇格した権限を得て、最終的にGoogle WorkspaceやSlackなど多くのツールにアクセスできるようになった」とUberはアップデートで伝えている。
攻撃者はUber全社で使われているSlackチャンネルにメッセージを投稿し、UberのOpenDNSを再設定して「いくつかの社内サイトで従業員向けに下品な画像を表示させた」と同社は述べている。
契約者のアカウントが侵害された後、攻撃者がどのようにして他の従業員のアカウントにアクセスしたのかについて、Uberは説明していない。
同社はこの攻撃を受けて次のような防御策を講じたという。
・不正アクセスまたは不正アクセスの可能性のあるアカウントを特定し、アクセスをブロックまたはパスワードの再設定を要求した
・多くの社内ツールを無効化した
・Uberの多くの社内サービスで、キーローテーションによりアクセスパラメーターをリセットした
・同社のコードベースをロックし、新たなコードを変更できないようにした
・Uberが社内ツールへのアクセスを回復した際、従業員に認証情報の再認証を要求した
出典:Uber details how it got hacked, claims limited damage(Cybersecurity Dive)
注1:Threat actor breaches many of Uber’s critical systems
注2:Security update(Uber Newsroom)
注3:Internal Cisco data stolen after employee hit by voice phishing attack
注4:Cyberattack on Nvidia results in data leak, credential theft
注5:Okta denies security incident as Lapsus$ group goes on a spree
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。