CSRBは脅威アクター「Lapsus$」に関する調査報告書を公開した。Lapsus$はSIMスワップやフィッシングといった一般的な悪用技術を使って数々の有名企業に不正アクセスしている。この攻撃を緩和する10の方法とは。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国国土安全保障省(DHS)は2023年8月10日(現地時間)、サイバー安全審査委員会(CSRB)が脅威アクター「Lapsus$」について調査した結果をまとめた報告書「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」を公開したと報じた。
Lapsus$はSIMスワップといった攻撃手法を駆使して数十の組織への侵入に成功している。報告書ではパスワードレス認証の推進やソーシャルエンジニアリング対策、連邦対応機関へのタイムリーな報告など10の緩和策が提言されている。
Lapsus$は2021年後半から2022年後半にかけて金銭的利益や娯楽目的で、MicrosoftやCisco、Okta、Nvidia、T-Mobile、Samsung、Uber、Vodafone、Ubisoft、Globantなどの有名企業への侵入を成功させている。
同グループは侵入の初期ベクトルとして、SIMスワップによる携帯電話番号の窃取や従業員に対するフィッシングといった他の脅威アクターでも実行できる低コストの手法を採用している点が特徴だ。
Lapsus$はSIMスワップを利用して、被害者の電話番号を制御してさまざまな企業サービスへのログインや企業ネットワークへの侵入に必要な二要素認証用のSMSベースの一時コードを受信する。その後企業の内部ネットワークにアクセスし、ソースコードや独自技術の詳細、ビジネス・顧客関連の文書などの機密情報を窃取する。
報告書ではこうしたサイバー攻撃の被害を避けるために以下の10の緩和策を提言している。
今回、CSRBによってまとめられた報告書は全ての組織がフィッシングに強い多要素認証(MFA)の導入を実施することや、サイバー耐性を高めるための緊急措置を講じる必要性を指摘する内容になっている。
多要素認証(MFA)はサイバー攻撃への有効な対応手段とされてきたが、最近ではこれを回避する手法も浸透しつつある。MFAに加えて基本的な対策を講じることを怠らないようにしたい。
Copyright © ITmedia, Inc. All Rights Reserved.