(※この記事は、2024年5月15日に更新されました。)
2022年は大手ハイテク企業が相次いでデータ侵害に見舞われた年でした。企業のセキュリティにおいて、ヒューマンエラーは依然として最も脆弱な部分であり続けています。これに関しては、また後ほど本記事の中で取り上げたいと思います。
今や誰もが知っている世界的なライドシェア企業「Uber」も2022年にサイバー攻撃の被害者となりました。
【目次】
2022年の Uber データ侵害事件
Uber のデータ侵害の被害に見舞われるのはこれが初めてではありません。2016年、彼らはハッカーに10万ドルを支払って盗んだデータを削除し、データ侵害を隠蔽したと言われています。しかし、その1年後、CEO が交代した後にそのハッキングが公表され、5000万人を超える乗客の個人情報と60万人のアメリカ人ドライバーの運転免許証番号が流出したことが明らかになりました。
公表された情報漏洩事件からは、いろいろなことを学び、そして対策を講じることができるはずです。本記事では、2022年にUberが被害を受けたデータ侵害事件について詳しく解説し、企業が自社のセキュリティを強化するために何をすべきかを紹介します。
ちなみに、このデータ侵害の詳細については Uber が設けているUber Newsroomにて確認できます。
データ侵害事件発生の経緯
2022年に起きたデータ侵害事件は「ソーシャルエンジニアリング」攻撃によるものでした。ソーシャルエンジニアリング攻撃では、サイバー犯罪者は心理学を使ってユーザーを操り、秘密情報を開示させたり、犯罪者が個人データにアクセスできるような行動を取らせたりします。
このケースでは、Uber の契約者の一人が、知らぬ間にアクセスをハッカーに対して許可していました。Uber は、「契約者の個人デバイスがマルウェアに感染し、その認証情報が公開された後、攻撃者がダークウェブで契約者のUber のコーポレートパスワードを購入した可能性が高い 」と述べています。
攻撃者はその後、MFA Fatigue(他要素認証疲労攻撃)と呼ばれる攻撃を採用しました。攻撃者は盗んだパスワードで何度もログインを試み、そのせいで契約者に認証要求のスパムが送信されました。その後、偶然なのか送信を止めるためか、契約者はそのような要求を受け入れてしまったのです。
ハッカーは一つでもアカウントにアクセスできたら、他の従業員のアカウントに入り込み、さらにアクセス権限を引き上げることができました。
Uber は、パスワードのリセットの義務化やコードベースのロックダウンなど、慎重な措置をとっています。
Uber の情報侵害の原因
Uber は、Nvidia、Samsung、Microsoft などの不正侵入の手柄を立てたハッカー集団「LAPSUS$」 が犯人だと考えています。
LAPSUS$ は謎の多いハッカー集団です。彼らはまず、ブラジルの保健省をハッキングし、数百万人の健康記録を削除したことで話題になりました(政府がバックアップを取っていたのが不幸中の幸いでした)。LAPSUS$ はその後、GPU で有名なテクノロジー企業である Nvidia に侵入し、データの流出を望まないのであればドライバをオープンソースにするよう要求しました。そして2022年3月、このグループに関係する少年7人がロンドン警察によって逮捕されました。その後、全員が釈放されましたが、LAPSUS$ はあちこちで攻撃を続けています。
ただ、LAPSUS$ の目的は不明であり、当局も彼らが大きな組織から後ろ盾を得ているかどうか分かっていません。最近の活動から、メンバーはイギリスとアメリカで活動していると思われますが、南米を標的にする傾向から、南米との関係を疑う声もあります。
LAPSUS$ の詳細については、Krebs による活動記録をご参照ください。
このデータ侵害事件から学べること
Microsoft、Cisco、Uber などで起こったデータ侵害事件には共通したパターンがあります。天才的な犯罪者がセキュリティシステムを突破するといった、テレビドラマであるような「ハッキング」はそう起こりません。攻撃は常に意図的で、計画的で、ヒューマンエラーを悪用したものでした。
人間は最も簡単で、最も脆弱な標的です。多くの人はソーシャルエンジニアリングの手口を見抜き、被害者になることを免れますが、29,000人以上の従業員を抱え、毎月1億2200万人のユーザーを抱える Uber や、75,000人の従業員を抱え、カスタマーサポートの多くを外部に委託しているT-Mobile(2021年に大規模な情報漏洩の被害あり)のような企業の中には、サイバー犯罪者にとっての格好の標的が少なからず存在します。
他の記事でも何回も言及していますが、このような被害を防ぐには、従業員を教育してセキュリティのベストプラクティスを実行することが非常に重要です。
そして最近のデータ侵害事件から何かを学んだとすれば、ソーシャルエンジニアリングが成功しなければ、このような事件は起こりえなかったということです。
Uber のデータ侵害はどうすれば防げたのか
Uber のハッカーたちは、以下の比較的単純な2つのステップを踏みました。
- 漏洩したパスワードを購入する
- 従業員をソーシャルエンジニアリングする
パスワード衛生の改善
個人も企業も、パスワードを定期的に変更することで、パスワード漏洩のリスクを減らすことができます。重要なパスワードを変更し、手動でセキュリティチェックを実行するために、90日ごとに携帯電話にリマインダーが表示されるように設定すると、パスワードを売られる可能性が低くなります。また、個人のデバイスをリアルタイムで監視するプログラムもあります。ただ、比較的新しいパスワードでも漏洩する可能性があるため、このような予防策だけでは十分ではありません。
そのため、セキュリティと利便性を上げるには、TeamPassword のようなパスワードマネージャーを使いましょう。パスワードマネージャーは、パスワードを全て暗号化して安全な場所に保存し、多くのパスワード管理ツールには、パスワード生成機能や 2FA 機能が組み込まれています。
2FAの使用
従業員のソーシャルエンジニアリングに対処するためには、利用可能な最高の2FAを使用し、自社のセキュリティ対策を突破しようとする不正なリクエストに対しても動じないことが重要です。
2FA 方式が全て同じように効果的というわけではありません。例えばデバイス上で OTP(ワンタイムパスワード)を直接生成し、定期的に更新する認証アプリは、携帯電話会社経由で携帯電話に送信される SMS よりも安全です。SMS の危険性の大部分は、SIM スワップの可能性によるもので、犯罪者がキャリア(通信サービス提供の事業者)を説得し、顧客番号を犯罪者自身のデバイスに転送させることで、あらゆる OTP をコントロールできるようになってしまいます。FCC(米国の連邦通信委員会)はこれを阻止しようとしていますが、SMS はまだ広く使われており、脆弱性が残っています。
確かに 2FA を使うのは面倒です。デバイスを2つ使う必要があり、時間もかかりますが、2FA が提供するセキュリティは、そのコストに見合うだけの価値があるので、できる限り2FAを使いましょう。
行動するのではなく、まずは尋ねる
最後に、常識と適度な懐疑心は、強力な防御に欠かせない要素です。情報提供の要請が緊急性のあるもの、見慣れないもの、わからないものである場合は、一旦立ち止まって検討し、確認するのがベストです。差出人に電話するか、同僚にダブルチェックしてもらいましょう。
第三者の意見を参考にすることは重要です。
ハードトークンの使用を検討する
Uber のデータ侵害は、パスコードやピンを使用する MFA のようなソフトウェアベースのものである「ソフトトークン」や、USB や Fobのような、アクセスを許可する物理的なオブジェクトである「ハードトークン」についても疑問を投げかけています。
Cloudflare へのフィッシング攻撃の失敗や Google のフィッシング阻止の成功が証明しているように、一般的にハードウェアトークンの方がはるかに安全です。誰かがアクセスするには、ハードキーを物理的に盗まないといけませんが、ハードキーは購入と維持にコストがかかるため、あまり広く使用されてきませんでした。
まとめ
サイバーセキュリティは非常に活発な分野です。
この Uber のデータ侵害の概要が、自分自身や会社にとって改善すべき分野を特定する助けになることを願っています。
日々進化するサイバー攻撃の対策は早いに越したことはありません。Teampassword で大事な情報をしっかり守りませんか?
無料トライアルにサインアップして、2週間ぜひご体験下さい。
