過去3ヶ月間、謎のハッカー集団がシリコンバレーに凄まじい頭痛の種を与えている。型破りな手法と劇的な展開を得意とするサイバー犯罪集団「LAPSUS$」は、猛烈な勢いでハイテク企業を次々と襲撃し、ボウリングのピンのように叩き壊している。
この集団の標的は大規模だ。Microsoft、Samsung、Nvidia、Ubisoft、そして最近では本人確認会社Oktaが、いずれも屈辱的なサイバー攻撃を受けている。これらのケースのほぼ全てにおいて、LAPSUS$は企業のネットワークの奥深くまで侵入し、ソースコード、つまりプロプライエタリソフトウェアのデジタルDNAの一部を盗み出した。その後、この集団はほぼ確実にそのコードをインターネット上に流出させ、被害者を辱め、企業秘密を漏洩させた。
このグループは、そのハッキング能力の高さから、数十億ドル規模の企業の最奥部にまで入り込んでいる。しかし、一部のセキュリティ研究者は、LAPSUS$は結局のところ、熟練したサイバー犯罪者というよりは、規律のない素人集団で構成されている可能性があると指摘している。実際、その一部は文字通りの子供かもしれない。木曜日、英国当局は、このグループと関係があるとされる7人の逮捕を発表した。彼らの年齢は16歳から21歳とされている。一方、このグループのリーダーは、イギリスのオックスフォード出身の16歳の少年とされている。「ホワイト」という偽名で活動するこのハッカーは、最近、ライバルのサイバー犯罪グループによって身元がインターネット上に漏洩されたようだ。
要するに、一連の勝利と多大な悪評の後、LAPSUS$ の状況は特にうまくいっているようには見えず、グループは手に負えない状況に陥っているのかもしれない。
「レーダーに引っかからずに活動を続ける多くのグループとは異なり、[LAPSUS$]は痕跡を隠そうとしないようです」と、マイクロソフトの脅威インテリジェンスセンターの研究者は最近のブログ投稿で述べています。「彼らはソーシャルメディアで攻撃を予告したり、標的組織の従業員から認証情報を購入する意図を宣伝したりするほどです。[この集団は]マイクロソフトが追跡している他の脅威アクターがあまり使用しないいくつかの戦術も使用しています。」しかし、まさにこうした戦術こそが、この集団を非常に魅力的なものにしているのです。
ランサムウェア集団は
LAPSUS$は、シリコンバレーの大企業をハッキングする以前、2022年1月に数々の未熟なサイバー犯罪行為を繰り広げていました。金儲けよりも、無秩序な楽しみを優先しているように思えました。例えば、今年最初のハッキングの一つでは、ブラジルのレンタカー会社を攻撃し、ホームページを数時間にわたってポルノサイトにリダイレクトしました。別の事件では、ポルトガルの新聞社の認証済みTwitterアカウントを乗っ取り、「LAPSUS$が正式にポルトガルの新大統領に就任」とツイートしました。
LAPSUS$に関する初期の報道では、ランサムウェア集団が盗んだデータを漏洩する傾向があることから、この集団を「ランサムウェア集団」に分類しようと試みられました。表面的にはそう見えるかもしれませんが、一つ問題がありました。LAPSUS$は実際にはランサムウェアを使用していなかったのです。
このグループは、マルウェアを一切使用せず、純粋な恐喝モデルで活動してきました。被害者のデータを暗号化するのではなく、LAPSUS$はデータを盗み出し、身代金を支払わなければ漏洩すると脅迫します。これは、データの暗号化と漏洩という二重の脅迫で被害者に身代金を支払わせるランサムウェア業界の二重恐喝モデルの奇妙で不器用なバリエーションです。
一般的に、ランサムウェア集団の多くは、典型的な企業の影の組織のように活動し、窃盗や恐喝のために、かなり組織化された高度なデジタル機器を展開しています。一方、LAPSUS$は機能不全に陥ったスタートアップ企業のように活動しています。場合によっては、身代金を要求することさえできず、金銭の要求を放棄し、ハッキングしたデータをただ単に漏洩することを選んでいます。マイクロソフトのセキュリティ研究者は、このスタイルを「純粋な恐喝と破壊のモデル」と呼んでいますが、これはこの集団の混沌とした、必ずしも効果的とは言えない手口を的確に表現しています。
大混乱を引き起こす
LAPSUS$が明らかに成功を収めている分野の一つは侵入ですが、ネットワークやシステムへの侵入に必ずしも革新的な手法を用いているわけではありません。このグループは、「Redline」と呼ばれるパスワード窃取マルウェアの使用、様々なソーシャルエンジニアリングの手口、ダークネットフォーラムでのアカウント認証情報やセッショントークンの購入など、よく知られた戦略を数多く活用しています。同時に、このグループは標的企業の内部関係者を頻繁に誘致し、オンライン求人広告のような形で人材の引き抜きを試みています。あるケースでは、グループのリーダーとされる人物が、VerizonとAT&Tの従業員に対し、自身の犯罪組織に加入して「内部犯行」を行う見返りに、週給2万ドルもの報酬を提示しました。
LAPSUS$は標的を攻撃する多様な手法を駆使し、驚くべき成功を収めてきました。例えば、Microsoftへのハッキングでは、検索エンジンBingのソースコードの90%、Bing MapsのソースコードとバーチャルアシスタントCortanaのソースコードのほぼ半分を含む、膨大なデータが侵害されたと考えられています。一方、この集団によるOktaへの攻撃は、本人確認サービスを提供するOkta自身だけでなく、他の企業にも影響を及ぼす可能性があります。Oktaは数千社もの企業にセキュリティサービスを提供しているため、同社のシステムへの侵害は、顧客のセキュリティにも影響を及ぼします。Oktaは水曜日のアップデートで、最大366社の顧客データが最近のLAPSUS$による攻撃によって影響を受けた可能性があることを認めました。
名声を求めて
この集団の派手ながらも無謀な傾向を示すもう一つの兆候は、その独特なリーク経路です。LAPSUS$は半暗号化チャットアプリTelegramを使用していますが、これは他のサイバー犯罪集団では一般的ではありません。ランサムウェアハッカーの多くは、ハッキングした素材を整理し、被害者が身代金を支払わなければさらに情報を漏洩すると脅迫できる独自の「リークサイト」を開設しています。これらのサイトは通常、アクセスが少なく、管理された環境です。
一方、LAPSUS$はTelegramなどのソーシャルメディアアカウントを一種のメガホンのように活用し、より大衆とのより活発でインタラクティブな関係を築く戦略をとっています。現在、このグループはTelegramで約4万8000人のフォロワーを抱えており、リーク情報へのコメントやメンバーとのメールでのやり取り、そしてハッキングの冒険を追うことを積極的に奨励しています。
この行動は、LAPSUS$が注目を浴びることを好むことを示しているように思われる。金銭よりも注目を浴びることを好む可能性は高いが、ハッキングほどではないだろう。実は、これがこのグループの問題点なのかもしれない。多くの新人犯罪者と同様に、彼らは金儲けを効果的に行うことよりも、アドレナリンラッシュや脚光を浴びることに関心があるようだ。
アマチュア時間
ギズモードの取材に応じたサイバーセキュリティアナリストたちは、LAPSUS$が数々の輝かしい実績と巧みな侵入技術を誇っているにもかかわらず、必ずしも厳格な運営を行っているわけではないという点で一致している。つまり、このギャングは犯罪ビジネスを運営するよりもハッキングの方が得意なのかもしれない。もしギャングが実際には若者集団だとしたら、これはある程度納得できる。サイバーセキュリティ企業Emsisoftの脅威アナリスト、ブレット・キャロウ氏は、このギャングの行動の一部には、明らかに効率性と組織力の欠如が表れていると述べた。
「もし攻撃がより組織化されたサイバー犯罪組織や国家の支援を受けた組織によって実行されていたら、結果はもっと悲惨なものになっていたかもしれません」とキャロウ氏はギズモードへのメールで述べた。「これは、LAPSUS$のようなグループがもたらす脅威を軽視するものではありません。彼らの動機が他のサイバー犯罪組織ほど明確に定義されていないという事実が、対処を困難にしているのです。」
同様に、マザーボードのジャーナリスト、ジョセフ・コックス氏も、このギャングとの遭遇について記事を書いている。その内容は、奇怪なものから滑稽なものまで多岐にわたる。コックス氏の話によると、LAPSUS$は昨年夏、EA Gamesをハッキングした後、運悪く彼に助けを求めたという。EAに身代金を要求する方法が分からなかったこのギャングは、コックス氏がジャーナリストであるがゆえに、EAと連絡を取り、ギャングの金銭要求を「仲介」できると考えたようだ。
他のアナリストも、LAPSUS$は金銭の支払い方法をよく分かっておらず、実際には支払いに興味すら持っていない可能性があると同意している。「LAPSUS$は盗んだデータと引き換えに非現実的な要求をしてきた経歴がある」と、SecurityScorecardの脅威研究者は最近のブログ記事に記している。
「LAPSUS$は、窃取したデータに対する適切な身代金額を決定できないようで、情報漏洩をしない代わりに被害者に支払いを交渉する時間も与えていないようだ」と研究者らは付け加え、実際には同グループは「金銭的な動機は全くないかもしれない」と説明した。LAPSUS$はスリルを求めて混乱を引き起こし、「被害者が支払わないことを承知の上で要求を突きつけ、有名企業のデータを漏洩することで注目を集め、悪名を高めようとしているのかもしれない」と研究者らは記している。
個人情報を暴露され、通報された
LAPSUS$のメンバーが悪名を望んでいたとすれば、彼らはまさにその道を突き進んでいるようだ。法執行機関の締め付けが強まる中、ギャングの陽気な騒乱の日々はもはや過去のものとなったのかもしれない。木曜日に起きた一連の逮捕に加え、ギャングのリーダーとされる人物は、ライバルのサイバー犯罪組織による個人情報の漏洩という別の問題を抱えているようだ。
問題のハッカーは、「White」「Oklaqq」「Breachbase」など、複数のオンライン偽名を使い分けており、イギリスのオックスフォード近郊で母親と暮らす16歳の少年とされている。BBCによると、彼は自閉症を患っており、オックスフォードの特別支援学校に通っているという。容疑者の父親は短いインタビューの中で、息子が「コンピューターに多くの時間を費やしていた」ものの、「ゲームをしていると思っていた」などと認めたようだ。
1月、ハッカーとされる人物のライバルたちは、個人情報を漏洩するために特に利用される物議を醸すウェブサイト「Doxbin」を通じて、ホワイト氏の本名とその他の身元を特定できる情報を公開した。サイトへの投稿で、彼らは「ホワイト」氏が300ビットコイン以上を保有しており、これは純資産額で約1400万ドルに相当すると述べている。彼らはLAPSUS$を「ランサムウェアを狙うグループ」と呼んでいた。
サイバーセキュリティ企業Unit 221Bの最高研究責任者アリソン・ニクソン氏によると、「ホワイト」氏がDoxbin運営者と以前ビジネス関係にあったため、個人情報が漏洩されたという。ギズモードがハッカーの身元漏洩疑惑についてニクソン氏に質問したところ、ニクソン氏は「ライバルの犯罪グループ」が容疑者の個人情報を「発見し、公開」したと断言した。ニクソン氏によると、Doxbinは実際には「ホワイト」氏に買収されたが、彼は結局、無能な管理者だったという。サイトを「放置」したことへの報復として、元所有者はDoxbinの経営権を取り戻し、「ホワイト」氏のずさんな管理方法を理由に個人情報を漏洩したとニクソン氏は述べている。
GizmodoはDoxbinの投稿のスクリーンショットを確認したが、彼の身元を特定できる詳細は明らかにしていない。
ニクソン氏はギズモードに対し、彼女の会社は1年近くにわたり他の複数のサイバーセキュリティ企業と協力し、「ホワイト」の活動を追跡してきたと語り、2021年半ばにはハッカーの正体を突き止め、警察に通報していたと述べた。法執行機関がそれ以降もこのハッカー集団を捜査しているかどうか、また容疑者の逮捕になぜこれほど時間がかかったのかは不明だ。
