Quotes Icon

Andrew M.

Andrew M.

オペレーション担当副社長

"私たちは小規模な非営利団体のためにTeamPasswordを使用していますが、私たちのニーズにうまく対応しています。"

今すぐ始める

Table Of Contents

    2022年に起きたUberのデータ侵害について解説

    2022年に起きたUberのデータ侵害について解説

    (※この記事は、2024年5月15日に更新されました。)

    2022年は大手ハイテク企業が相次いでデータ侵害に見舞われた年でした。企業のセキュリティにおいて、ヒューマンエラーは依然として最も脆弱な部分であり続けています。これに関しては、また後ほど本記事の中で取り上げたいと思います。

    今や誰もが知っている世界的なライドシェア企業「Uber」も2022年にサイバー攻撃の被害者となりました。

    【目次】

    Table of Contents

      2022年の Uber データ侵害事件

      Uber のデータ侵害の被害に見舞われるのはこれが初めてではありません。2016年、彼らはハッカーに10万ドルを支払って盗んだデータを削除し、データ侵害を隠蔽したと言われています。しかし、その1年後、CEO が交代した後にそのハッキングが公表され、5000万人を超える乗客の個人情報と60万人のアメリカ人ドライバーの運転免許証番号が流出したことが明らかになりました。

      公表された情報漏洩事件からは、いろいろなことを学び、そして対策を講じることができるはずです。本記事では、2022年にUberが被害を受けたデータ侵害事件について詳しく解説し、企業が自社のセキュリティを強化するために何をすべきかを紹介します。

      ちなみに、このデータ侵害の詳細については Uber が設けているUber Newsroomにて確認できます。

      データ侵害事件発生の経緯

      2022年に起きたデータ侵害事件は「ソーシャルエンジニアリング」攻撃によるものでした。ソーシャルエンジニアリング攻撃では、サイバー犯罪者は心理学を使ってユーザーを操り、秘密情報を開示させたり、犯罪者が個人データにアクセスできるような行動を取らせたりします。

      このケースでは、Uber の契約者の一人が、知らぬ間にアクセスをハッカーに対して許可していました。Uber は、「契約者の個人デバイスがマルウェアに感染し、その認証情報が公開された後、攻撃者がダークウェブで契約者のUber のコーポレートパスワードを購入した可能性が高い 」と述べています。

      攻撃者はその後、MFA Fatigue(他要素認証疲労攻撃)と呼ばれる攻撃を採用しました。攻撃者は盗んだパスワードで何度もログインを試み、そのせいで契約者に認証要求のスパムが送信されました。その後、偶然なのか送信を止めるためか、契約者はそのような要求を受け入れてしまったのです。

      ハッカーは一つでもアカウントにアクセスできたら、他の従業員のアカウントに入り込み、さらにアクセス権限を引き上げることができました。

      Uber は、パスワードのリセットの義務化やコードベースのロックダウンなど、慎重な措置をとっています。

      Uber の情報侵害の原因

      Uber は、Nvidia、Samsung、Microsoft などの不正侵入の手柄を立てたハッカー集団「LAPSUS$」 が犯人だと考えています。

      LAPSUS$ は謎の多いハッカー集団です。彼らはまず、ブラジルの保健省をハッキングし、数百万人の健康記録を削除したことで話題になりました(政府がバックアップを取っていたのが不幸中の幸いでした)。LAPSUS$ はその後、GPU で有名なテクノロジー企業である Nvidia に侵入し、データの流出を望まないのであればドライバをオープンソースにするよう要求しました。そして2022年3月、このグループに関係する少年7人がロンドン警察によって逮捕されました。その後、全員が釈放されましたが、LAPSUS$ はあちこちで攻撃を続けています。

      ただ、LAPSUS$ の目的は不明であり、当局も彼らが大きな組織から後ろ盾を得ているかどうか分かっていません。最近の活動から、メンバーはイギリスとアメリカで活動していると思われますが、南米を標的にする傾向から、南米との関係を疑う声もあります。

      LAPSUS$ の詳細については、Krebs による活動記録をご参照ください。

      このデータ侵害事件から学べること

      Microsoft、Cisco、Uber などで起こったデータ侵害事件には共通したパターンがあります。天才的な犯罪者がセキュリティシステムを突破するといった、テレビドラマであるような「ハッキング」はそう起こりません。攻撃は常に意図的で、計画的で、ヒューマンエラーを悪用したものでした。

      人間は最も簡単で、最も脆弱な標的です。多くの人はソーシャルエンジニアリングの手口を見抜き、被害者になることを免れますが、29,000人以上の従業員を抱え、毎月1億2200万人のユーザーを抱える Uber や、75,000人の従業員を抱え、カスタマーサポートの多くを外部に委託しているT-Mobile(2021年に大規模な情報漏洩の被害あり)のような企業の中には、サイバー犯罪者にとっての格好の標的が少なからず存在します。

      他の記事でも何回も言及していますが、このような被害を防ぐには、従業員を教育してセキュリティのベストプラクティスを実行することが非常に重要です。

      そして最近のデータ侵害事件から何かを学んだとすれば、ソーシャルエンジニアリングが成功しなければ、このような事件は起こりえなかったということです。

      Uber のデータ侵害はどうすれば防げたのか

      Uber のハッカーたちは、以下の比較的単純な2つのステップを踏みました。

      1. 従業員をソーシャルエンジニアリングする

      パスワード衛生の改善

      個人も企業も、パスワードを定期的に変更することで、パスワード漏洩のリスクを減らすことができます。重要なパスワードを変更し、手動でセキュリティチェックを実行するために、90日ごとに携帯電話にリマインダーが表示されるように設定すると、パスワードを売られる可能性が低くなります。また、個人のデバイスをリアルタイムで監視するプログラムもあります。ただ、比較的新しいパスワードでも漏洩する可能性があるため、このような予防策だけでは十分ではありません。

      そのため、セキュリティと利便性を上げるには、TeamPassword のようなパスワードマネージャーを使いましょう。パスワードマネージャーは、パスワードを全て暗号化して安全な場所に保存し、多くのパスワード管理ツールには、パスワード生成機能や 2FA 機能が組み込まれています。

      2FAの使用

      従業員のソーシャルエンジニアリングに対処するためには、利用可能な最高の2FAを使用し、自社のセキュリティ対策を突破しようとする不正なリクエストに対しても動じないことが重要です。

      2FA 方式が全て同じように効果的というわけではありません。例えばデバイス上で OTP(ワンタイムパスワード)を直接生成し、定期的に更新する認証アプリは、携帯電話会社経由で携帯電話に送信される SMS よりも安全です。SMS の危険性の大部分は、SIM スワップの可能性によるもので、犯罪者がキャリア(通信サービス提供の事業者)を説得し、顧客番号を犯罪者自身のデバイスに転送させることで、あらゆる OTP をコントロールできるようになってしまいます。FCC(米国の連邦通信委員会)はこれを阻止しようとしていますが、SMS はまだ広く使われており、脆弱性が残っています。

      確かに 2FA を使うのは面倒です。デバイスを2つ使う必要があり、時間もかかりますが、2FA が提供するセキュリティは、そのコストに見合うだけの価値があるので、できる限り2FAを使いましょう。

      行動するのではなく、まずは尋ねる

      最後に、常識と適度な懐疑心は、強力な防御に欠かせない要素です。情報提供の要請が緊急性のあるもの、見慣れないもの、わからないものである場合は、一旦立ち止まって検討し、確認するのがベストです。差出人に電話するか、同僚にダブルチェックしてもらいましょう。

      第三者の意見を参考にすることは重要です。

      ハードトークンの使用を検討する

      Uber のデータ侵害は、パスコードやピンを使用する MFA のようなソフトウェアベースのものである「ソフトトークン」や、USB や Fobのような、アクセスを許可する物理的なオブジェクトである「ハードトークン」についても疑問を投げかけています。

      Cloudflare へのフィッシング攻撃の失敗Google のフィッシング阻止の成功が証明しているように、一般的にハードウェアトークンの方がはるかに安全です。誰かがアクセスするには、ハードキーを物理的に盗まないといけませんが、ハードキーは購入と維持にコストがかかるため、あまり広く使用されてきませんでした。

      まとめ

      サイバーセキュリティは非常に活発な分野です。

      この Uber のデータ侵害の概要が、自分自身や会社にとって改善すべき分野を特定する助けになることを願っています。

      日々進化するサイバー攻撃の対策は早いに越したことはありません。Teampassword で大事な情報をしっかり守りませんか?

      無料トライアルにサインアップして、2週間ぜひご体験下さい。

      おすすめの記事

      サイバーセキュリティ1 min
      ディープフェイクとは?悪用の危険性とその対策について解説

      近年、AI(人工知能)の進化に伴い、「ディープフェイク」という新たな技術が注目を集めています。これにより、映像や音声のリアルな再現ができるようになったと同時に、深刻なリスクも増大しています。そこで本記事では、ディープフェイクについて、その悪用例や対策について見ていきます。

      ディープフェイクとは?悪用の危険性とその対策について解説
      サイバーセキュリティ1 min
      水飲み場攻撃|手口や被害事例、企業が行うべき対策とは?

      水飲み場攻撃の手口や被害事例、そして企業が取るべき対策について、詳しく解説します。この攻撃は、特定のウェブサイトを狙い、訪問者のデバイスにマルウェアを仕込む手法で、企業のセキュリティ対策が重要です。

      水飲み場攻撃|手口や被害事例、企業が行うべき対策とは?
      サイバーセキュリティ1 min
      ChatGPTにおける情報漏洩のリスクと対策:安全に利用するためのガイド

      AI技術の進化により、私たちの生活や業務はより便利で効率的になりました。中でもChatGPTはその高い言語処理能力と迅速な対応力で注目されています。今回は、ChatGPTの情報漏洩リスクを下げるために、強力な暗号化と簡単なパスワード管理でセキュリティを強化する方法を解説します。

      ChatGPTにおける情報漏洩のリスクと対策:安全に利用するためのガイド
      サイバーセキュリティ1 min
      インターネットバンキングのセキュリティ|情報を安全に保つための7つのヒント

      近年、インターネットバンキングを好んで利用する人がますます増えていますが、インターネットバンキングには、マルウェアやフィッシング、個人情報の盗難などの重大なセキュリティリスクが潜んでいます。本記事では、インターネット上で安全に財産を管理する方法を解説します。

      インターネットバンキングのセキュリティ|情報を安全に保つための7つのヒント
      パスワードの安全性を高める

      パスワードを生成し、正しく管理させるための最適なソフトウェア

      TeamPassword Screenshot
      facebook social icon
      twitter social icon
      linkedin social icon
      関連記事
      ディープフェイクとは?悪用の危険性とその対策について解説

      サイバーセキュリティ

      October 3, 20241 min read

      ディープフェイクとは?悪用の危険性とその対策について解説

      近年、AI(人工知能)の進化に伴い、「ディープフェイク」という新たな技術が注目を集めています。これにより、映像や音声のリアルな再現ができるようになったと同時に、深刻なリスクも増大しています。そこで本記事では、ディープフェイクについて、その悪用例や対策について見ていきます。

      水飲み場攻撃|手口や被害事例、企業が行うべき対策とは?

      サイバーセキュリティ

      September 26, 20241 min read

      水飲み場攻撃|手口や被害事例、企業が行うべき対策とは?

      水飲み場攻撃の手口や被害事例、そして企業が取るべき対策について、詳しく解説します。この攻撃は、特定のウェブサイトを狙い、訪問者のデバイスにマルウェアを仕込む手法で、企業のセキュリティ対策が重要です。

      ChatGPTにおける情報漏洩のリスクと対策:安全に利用するためのガイド

      サイバーセキュリティ

      September 12, 20241 min read

      ChatGPTにおける情報漏洩のリスクと対策:安全に利用するためのガイド

      AI技術の進化により、私たちの生活や業務はより便利で効率的になりました。中でもChatGPTはその高い言語処理能力と迅速な対応力で注目されています。今回は、ChatGPTの情報漏洩リスクを下げるために、強力な暗号化と簡単なパスワード管理でセキュリティを強化する方法を解説します。

      最新情報をお見逃しなく!

      このような投稿をもっと読みたい方は、ブログを購読してください。

      Promotional image