Uberはなぜハッキングされたのか、多要素認証の落とし穴とは
Uberがサイバー攻撃を受けた。社内のコードベースを変更された証拠はないが、攻撃者はSlackや脆弱性レポート、財務データへのアクセスに成功した。Uberは多要素認証を導入しているものの、突破されてしまった。なぜだろうか。
ライドシェアとフードデリバリーを手掛けるUber Technologiesは2022年9月15日(注1)、「広範囲なサイバー攻撃を受けたものの、同社の本番環境やユーザーアカウント、機密情報の保存に使用しているデータベースには攻撃が届かなかった」と発表した。だが実際に攻撃は成功していたのだ。
同9月19日のセキュリティアップデート(注2)の発表時点では、コードベースを変更された証拠は見つからず、クラウドサービスプロバイダーに保存していた顧客やユーザーのデータには不正アクセスがなかったと述べた。
しかし、攻撃者は社内向けSlackのメッセージやUberの財務チームが請求書を管理するために使用しているツールのデータ、さらには脆弱(ぜいじゃく)性レポートを保管しているHackerOneのダッシュボードにアクセスして情報を流出させたという。
「攻撃者がアクセスした脆弱性レポートは全て修正済だ」と同社は続報で発表している。
Uberは最初の調査の後、攻撃者がUber契約者のアカウントを侵害したと発表した。同社によると、個人のデバイスがマルウェアに感染して認証情報が流出した後、ダークウェブでその個人が使っていたUberの法人パスワードを攻撃者が購入した可能性が高いという。
パスワードを盗まれても、多要素認証で防止できるはずだった
攻撃はどのように始まったのだろうか。
攻撃者は「多要素認証疲労攻撃」を用いた。まず、契約者のUberアカウントに繰り返しログインし、二要素認証の認証要求をユーザーに何度も送り付けた。この流れで契約者が誤ってログインを承認してしまったため、攻撃者のログインが成功してしまった。
Uberは今回のサイバー攻撃について、恐喝グループ「Lapsus$」に属する攻撃者を犯人と特定した。この攻撃者はCisco Systems(注3)やNVIDIA(注4)、Microsoft、Okta(注5)、Samsung、Rockstar Gamesへの攻撃を実行している。
FBIや司法省と、復旧対応作業を緊密に調整していると、Uberは述べた。同社はまた、サイバーポリシーや社内手続き、対抗技術を強化し、防御を向上させることを約束した。
Uberのサービスは今回の攻撃による影響を受けておらず、引き続き稼働している。同社はコメント要請に対してまだ返答していない。
「攻撃者はUber法人パスワードでログインした後、他の複数の従業員アカウントにアクセスし、昇格した権限を得て、最終的にGoogle WorkspaceやSlackなど多くのツールにアクセスできるようになった」とUberはアップデートで伝えている。
攻撃者はUber全社で使われているSlackチャンネルにメッセージを投稿し、UberのOpenDNSを再設定して「いくつかの社内サイトで従業員向けに下品な画像を表示させた」と同社は述べている。
契約者のアカウントが侵害された後、攻撃者がどのようにして他の従業員のアカウントにアクセスしたのかについて、Uberは説明していない。
同社はこの攻撃を受けて次のような防御策を講じたという。
・不正アクセスまたは不正アクセスの可能性のあるアカウントを特定し、アクセスをブロックまたはパスワードの再設定を要求した
・多くの社内ツールを無効化した
・Uberの多くの社内サービスで、キーローテーションによりアクセスパラメーターをリセットした
・同社のコードベースをロックし、新たなコードを変更できないようにした
・Uberが社内ツールへのアクセスを回復した際、従業員に認証情報の再認証を要求した
出典:Uber details how it got hacked, claims limited damage(Cybersecurity Dive)
注1:Threat actor breaches many of Uber’s critical systems
注2:Security update(Uber Newsroom)
注3:Internal Cisco data stolen after employee hit by voice phishing attack
注4:Cyberattack on Nvidia results in data leak, credential theft
注5:Okta denies security incident as Lapsus$ group goes on a spree
© Industry Dive. All rights reserved.
関連記事
二段階認証と二要素認証、何が違い、どう危ない? 二段階認証が安全と言い切れない理由と最新の対策
二段階認証と二要素認証の違いを説明できるだろうか。よく分からないままでは思わぬ攻撃を受ける可能性がある。両者の違いと想定されるリスク、最新の認証技術がどうなっているかを整理する。
「セブンペイ事件」から2年、ワンタイムパスワードの使いどころを再確認
認証情報を狙うサイバー攻撃が激化している。その手法は多岐にわたり、セキュリティの専門家さえ「対処のしようがない」と言うものもある。今回はサイバー攻撃に対するワンタイムパスワードの有効性を考える。