SIMスワップで組織内部に侵入 Lapsus$の手口と攻撃を緩和する10の方法

CSRBは脅威アクター「Lapsus$」に関する調査報告書を公開した。Lapsus$はSIMスワップやフィッシングといった一般的な悪用技術を使って数々の有名企業に不正アクセスしている。この攻撃を緩和する10の方法とは。

[後藤大地，有限会社オングス]

　米国国土安全保障省（DHS）は2023年8月10日（現地時間）、サイバー安全審査委員会（CSRB）が脅威アクター「Lapsus$」について調査した結果をまとめた報告書「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」を公開したと報じた。

　Lapsus$はSIMスワップといった攻撃手法を駆使して数十の組織への侵入に成功している。報告書ではパスワードレス認証の推進やソーシャルエンジニアリング対策、連邦対応機関へのタイムリーな報告など10の緩和策が提言されている。

CSRBはLapsus$に関する調査結果「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」を公開した（出典：CSRBの報告書「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」）

SIMスワップで組織内部に侵入　Lapsus$の手口と10の緩和策

　Lapsus$は2021年後半から2022年後半にかけて金銭的利益や娯楽目的で、MicrosoftやCisco、Okta、Nvidia、T-Mobile、Samsung、Uber、Vodafone、Ubisoft、Globantなどの有名企業への侵入を成功させている。

　同グループは侵入の初期ベクトルとして、SIMスワップによる携帯電話番号の窃取や従業員に対するフィッシングといった他の脅威アクターでも実行できる低コストの手法を採用している点が特徴だ。

　Lapsus$はSIMスワップを利用して、被害者の電話番号を制御してさまざまな企業サービスへのログインや企業ネットワークへの侵入に必要な二要素認証用のSMSベースの一時コードを受信する。その後企業の内部ネットワークにアクセスし、ソースコードや独自技術の詳細、ビジネス・顧客関連の文書などの機密情報を窃取する。

　報告書ではこうしたサイバー攻撃の被害を避けるために以下の10の緩和策を提言している。

1. パスワードレス認証に移行する
2. ソーシャルエンジニアリングが効果的に機能しないように努力する
3. 不正なSIMを使った攻撃に対するレジリエンスを実現する
4. 米連邦通信委員会（FCC）および米国連邦取引委員会（FTC）の監督および執行活動を強化する
5. 破壊的なサイバー攻撃に対する計画の立案と予防、対応、回復能力への投資を実施する
6. 顧客企業およびビジネスプロセスアウトソーサーにおけるリスク管理の成熟化および強化の実現と、それに対する政府支援を実施する
7. 少年サイバー犯罪の予防および介入のための社会全体プログラムとメカニズムを推進する
8. 連邦対応機関へのサイバー攻撃のタイムリーな報告を実施する
9. 国際的な法執行協力を強化する
10. ソーシャルエンジニアリング攻撃に対する緊急開示要求への耐性を強化する

　今回、CSRBによってまとめられた報告書は全ての組織がフィッシングに強い多要素認証（MFA）の導入を実施することや、サイバー耐性を高めるための緊急措置を講じる必要性を指摘する内容になっている。

　多要素認証（MFA）はサイバー攻撃への有効な対応手段とされてきたが、最近ではこれを回避する手法も浸透しつつある。MFAに加えて基本的な対策を講じることを怠らないようにしたい。