LAPSUS$というハッキンググループがMicrosoftの内部システムに侵入してソースコードの一部を取得したとする問題で、Microsoftがその手口や同社によるこれまでの調査をまとめたレポートをセキュリティ・ブログで公表した。
LAPSUS$はこれまでNVIDIA、Samsung、Ubisoft、Vodafoneなどへの侵入を公表して名前が知られるようになったハッキンググループだ。Microsoftの内部システムにアクセスしてBing、Bing Maps、Cortanaなど、約37GBのソースコードを盗み出したと主張。証明として内部開発者アカウントのスクリーンショットをTelegramに投稿していた。
Microsoftによると、LAPSUS$(文書でMicrosoftはLAPSUS$をDEV-0537と呼称)が1つのアカウントを侵害し、限定的なアクセスを得たことが判明。しかし、侵害されたアカウントは脅威インテリジェンスに基づいた調査の対象になっており、すぐに異常なアクティビティを特定してサイバーセキュリティ対応チームが対応、限定的な影響に防げたという。不正侵入の影響に顧客のコードやデータは含まれていない。また、ソースコードについて、Microsoftは社内で多くがソースコードを表示できるようにしており、「セキュリティ対策としてコードの機密性に依存しておらず、ソースコードの閲覧がリスクの上昇につながることはない」としている。
Microsoftによると、LAPSUS$はランサムウェアを用いずに機密情報を盗み、あるいは破壊する活動を行っている。英国と南米の組織をターゲットにした活動から始まり、政府機関、テクノロジー、通信、メディア、小売り、ヘルスケアなど幅広い分野で、グローバル規模にターゲットを拡大した。また、個人に対しても、暗号通貨取引所のアカウントを乗っ取って保有する暗号通貨を流出させている。
Microsoftへの侵入を公表したように、LAPSUS$はハッキング活動やその痕跡を隠そうとしない。電話を使ったソーシャルエンジニアリング、SIMスワップ、社員の個人メールアカウントへのアクセス、認証情報や多要素認証(MFA)承認を得るための社員やサプライヤー、ビジネスパートナーへの賄賂など、Microsoftが追跡している他の脅威アクターがあまり用いない手法を使う。
-
標的としている組織の社員や関係者に認証情報を買い取ると呼びかけるLAPSUS$
企業・組織のLAPSUS$対策として、厳格なMFAの導入が主要な防御ラインになるとしており、テキストメッセージのような弱いMFA認証を避け、Windows Hello for BusinessやMicrosoft Authenticator、FIDOトークンなどを用いた安全なMFAの実装を呼びかけている。
