Lapsus$

Lapsus$とは

Lapsus$は、2021年にブラジル保健省の情報システムに侵入したことから国際的に悪名を騒がせているハッカーグループです。彼らの拠点はブラジルや他の南米諸国であると考えられていますが、正確な所在地は把握されていません。このグループは、マイクロソフトによって「DEV-0537」と名付けられ、追跡されています。

活動の概要

Lapsus$は、主に匿名メッセージングアプリのTelegramを使用して、次の攻撃対象を選ぶための投票を実施したり、盗んだ情報を公開したりするなどの活動を行っています。マイクロソフトの報告によれば、Lapsus$は企業からデータを盗み、その情報を公開するか、破壊することを脅迫するグループですが、ランサムウェアを使用しないという点が特徴的です。さらに、暗号資産取引所に対する攻撃も行っており、アカウントの奪取を通じた暗号資産の盗難も試みています。

侵入手法

Lapsus$は、リモート・デスクトップ・プロトコル(RDP)の悪用や、スマートフォンを利用したソーシャル・エンジニアリング、SIMスワッピングによるアカウント乗っ取りなど、多岐にわたる手法を駆使しています。特にTelegramを通じて、ターゲット企業の従業員に対してログイン資格を売り込むことを宣伝しているという特徴もあります。2022年3月には、「Apple、マイクロソフト、IBM社員の協力者大募集」と呼びかけるメッセージが発信されました。

マイクロソフトは、彼らの侵入を防ぐために、多要素認証の導入やクラウドの強化、最新のVPN認証の採用、そして従業員向けの教育プログラムを推奨しています。

Lapsus$の歴史

Lapsus$は、2021年から活動を開始し、ブラジル保健省やポルトガル語のメディアに対する攻撃を行っていました。しかし、2022年以降は国際的なテクノロジー企業をターゲットにすることが増加しました。サイバーセキュリティ専門家の見解では、Lapsus$はまだ発展途上の集団であり、その手法や活動内容は成熟していないとのことです。ロシアによるウクライナ侵攻を背景に、注意を逸らす目的で活動を活発化させた可能性も指摘されています。

2022年3月24日、ロンドン市警察は一連の事件に関連して7人の若者を逮捕しましたが、これらの若者がLapsus$のメンバーであるかどうかは不明とされています。また、3月31日には、Appleとメタが法執行機関を装ったハッカーに騙されて顧客データを提供した事件が発覚し、その一人がLapsus$のリーダーであるとされました。

脅威の実績

ブラジル保健省

2021年12月、ブラジル保健省がサイバー攻撃を受け、50TBを超えるデータが盗まれました。この攻撃によって、新型コロナウイルスに関する情報も削除され、復旧には約1ヶ月を要しました。

NVIDIA

2022年2月には、アメリカの半導体メーカーNVIDIAに侵入し、約1テラバイトのソースコードを含む内部データを盗み出しました。その後、盗んだ情報を基に身代金を要求し、これを拒否した同社に対してさらなる脅迫を行ったという事例が報告されています。

サムスン電子

同年3月7日、韓国のサムスン電子がターゲットとなり、セキュリティシステムやスマートフォンのソースコードが流出する事態となりました。サムスンは流出内容をごまかすことなく認めていますが、顧客データは含まれていないと主張しています。

メルカドリブレ

南米最大のECサイトを運営するメルカドリブレも被害に遭い、30万人以上のユーザーデータが漏洩した可能性がありますが、重要な情報の流出は確認されていません。

Ubisoftやマイクロソフト

さらに、Ubisoftやマイクロソフトに対してもサイバー攻撃を行い、それぞれのユーザーデータに影響を及ぼす可能性のある事件が報告されています。特にマイクロソフトは、攻撃によって大規模なデータ漏洩の可能性を指摘していますが、自社のシステムは安全であると強調しています。

結論

Lapsus$は、多様な手法を活用し、企業や機関に対する攻撃を続けているため、サイバーセキュリティ対策は以前にも増して重要となっています。企業は早急に対策を講じ、リスクを低減する努力が求められています。

もう一度検索