ハッキンググループLapsus$がマイクロソフトから37GBのソースコードを騙し取ることに成功したという報道を受け、Microsoftがハッキング被害を確認したことがわかりました。
Microsoftは3月22日(現地時間)、セキュリティに関するブログ記事「DEV-0537 criminal actor targeting organizations for data exfiltration and destruction(DEV-0537 データ流出と破壊のために組織を狙う犯罪行為者)」を公開し、Lapsus$グループからハッキングを受けたものの、同社がセキュリティ対策としてコードの秘匿性に依存していないことから、セキュリティ侵害がリスクの上昇につながらないという見解を示しています。
Microsoft Security has been tracking criminal actor DEV-0537 (LAPSUS$) targeting organizations with data exfiltration and destructive attacks - including Microsoft. Analysis and guidance in our latest blog: https://t.co/gTMXJCoPY5
— Microsoft Security (@msftsecurity) March 22, 2022
Microsoftはレポートの中で、Lapsus$ハッキンググループが1つのアカウントを侵害し、「限定的なアクセス」を得たと説明しています。Lapsus$がTelegramへハッキングの成果を公開する前に、Microsoftは脅威情報に基づき、侵害されたアカウントの調査を開始していたとのこと。今回の被害には、「顧客のコードやデータは関与していない」とされ、エンドユーザーは今回の騒動から直接影響を受けることはないと考えられます。
Microsoftはレポートで、Lapsus$グループがターゲットのシステムにアクセスするために使用する戦術についても詳しく説明しています。これによると、同グループは主に、ソーシャル・エンジニアリングに基づく攻撃を行い、セキュリティ・システム内の人的要素を悪用しているとされています。「電話を使ったソーシャルエンジニアリング、アカウント乗っ取りを容易にするSIMスワップ、ターゲット組織の従業員の個人メールアカウントへのアクセス、ターゲット組織の従業員、サプライヤー、ビジネスパートナーへの支払いによる認証情報へのアクセスや多要素認証(MFA)の認可、ターゲットの進行中の危機管理通信への侵入」などが手口だとされています。
MicrosoftはまだLapsus$グループからの要求を公にしていませんが、同社のThreat Intelligence Centerは、企業を攻撃する際のLapsus$の行動について「盗んだ認証情報によって高度なアクセスを獲得し、標的組織に対するデータ窃盗や破壊的な攻撃を可能にし、しばしば恐喝に至る」と述べています。