米国の巨大ホテル企業が被害に遭った、Oktaユーザーを狙った“古くて新しい”攻撃とは？：Cybersecurity Dive

MGM Resortsが被害に遭ったサイバー攻撃には、脅威グループ「AlphV」および脅威グループ「Muddled Libra」が関与しているものとみられる。彼らはどのような手法を使ったのか。

[David Jones，Cybersecurity Dive]

　ホテル事業を営むMGM ResortsとCaesars Entertainmentに対するソーシャルエンジニアリング攻撃は、脆弱（ぜいじゃく）性を悪用する攻撃者の過去の活動に疑問を投げかける。

　セキュリティ研究者の間では、MGMへの攻撃を主張する脅威グループ「AlphV」（別名：BlackCat）が別の脅威グループ「Muddled Libra」と連携しているとの見方が強まっている。

　サイバーセキュリティ事業を営むPalo Alto NetworksのUnit 42によると（注1）、Muddled Libraは2022年の中頃から続くサイバー攻撃に深く関与しており、価値の高い暗号通貨を扱う企業や個人にサービスを提供するアウトソーシング企業を標的にしている。

攻撃者が狙うのは“人間が関わる”ポイント

　この脅威グループはScattered Spider、Scatter Swine、Oktapusなどの名前で知られており、サイバー攻撃に同じツールキットを使用する複数の攻撃者で構成されている可能性が高い（注2）。

　Unit 42のブログによると、このグループは標的の従業員に対して、「アイデンティティーの再認証」や「アカウント情報の更新が必要」だとする内容のメッセージを送っていた。その後ハッカーは、複数のバージョンのリモート監視・管理ツールをインストールし、攻撃が発見された場合でもシステムにアクセスできるように、バックアップアクセスを確保していた。

　AlphVの攻撃者は投稿の中で「ハッカーが自社のOkta環境に潜んでいると気付いた後、MGMはシステムをシャットダウンした」と主張した。OktaはMGMが顧客の1社であることを確認し「攻撃への対応に協力できる」と述べた。

　今回のサイバー攻撃は顧客の個人情報を大量に扱うホスピタリティ業界やゲーム業界のリスクを浮き彫りにした。

　リサーチサービスを提供するForresterでセキュリティリスクを担当するバイスプレジデント兼リサーチディレクターのメリット・マクシム氏は次のように述べる。

　「サイバー攻撃を防御するために組織は高度なセキュリティコントロールやテクノロジーを採用している。しかしサイバー攻撃者が狙う脆弱（ぜいじゃく）性は、システムの中で人間が関わるポイントなのだということがMGMへの攻撃から分かる。ソーシャルエンジニアリング攻撃は新しい手段ではない。攻撃者は、特に多要素認証プロセスに対するソーシャルエンジニアリング攻撃を洗練させ、対象となるシステムを増加させた」

　マクシム氏によると組織のITインフラが複雑化するにつれて、リスクは企業の従業員だけでなく外部のビジネスパートナーにも及ぶようになっている。

　「2022年の初めに発生したOktaに対する脅威グループLapsus$の侵害では（注3）、特定のシステムに対するアクセス権利を持つ外部のカスタマーサポート業務請負業者への侵害も含まれていた」（マクシム氏）

　マクシム氏は「ソーシャルエンジニアリング攻撃がなくなることはなく、防御は難しいままだろう。Oktaのようなアイデンティティー認証サービスを提供する企業はハッキングの標的であり続ける。なぜなら、認証情報の制御または侵害こそ、攻撃者がデータとシステムにアクセスする手段だからだ」と指摘した。

（注1）Threat Group Assessment: Muddled Libra (Updated)（Palo Alto Networks）
（注2）Threat Group Assessment: Muddled Libra (Updated)（Palo Alto Networks）
（注3）Okta says 2.5% of customers breached, as Lapsus$ sows disorder（Cybersecurity Dive）

原文へのリンク