MGM Resortsが被害に遭ったサイバー攻撃には、脅威グループ「AlphV」および脅威グループ「Muddled Libra」が関与しているものとみられる。彼らはどのような手法を使ったのか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ホテル事業を営むMGM ResortsとCaesars Entertainmentに対するソーシャルエンジニアリング攻撃は、脆弱(ぜいじゃく)性を悪用する攻撃者の過去の活動に疑問を投げかける。
セキュリティ研究者の間では、MGMへの攻撃を主張する脅威グループ「AlphV」(別名:BlackCat)が別の脅威グループ「Muddled Libra」と連携しているとの見方が強まっている。
サイバーセキュリティ事業を営むPalo Alto NetworksのUnit 42によると(注1)、Muddled Libraは2022年の中頃から続くサイバー攻撃に深く関与しており、価値の高い暗号通貨を扱う企業や個人にサービスを提供するアウトソーシング企業を標的にしている。
この脅威グループはScattered Spider、Scatter Swine、Oktapusなどの名前で知られており、サイバー攻撃に同じツールキットを使用する複数の攻撃者で構成されている可能性が高い(注2)。
Unit 42のブログによると、このグループは標的の従業員に対して、「アイデンティティーの再認証」や「アカウント情報の更新が必要」だとする内容のメッセージを送っていた。その後ハッカーは、複数のバージョンのリモート監視・管理ツールをインストールし、攻撃が発見された場合でもシステムにアクセスできるように、バックアップアクセスを確保していた。
AlphVの攻撃者は投稿の中で「ハッカーが自社のOkta環境に潜んでいると気付いた後、MGMはシステムをシャットダウンした」と主張した。OktaはMGMが顧客の1社であることを確認し「攻撃への対応に協力できる」と述べた。
今回のサイバー攻撃は顧客の個人情報を大量に扱うホスピタリティ業界やゲーム業界のリスクを浮き彫りにした。
リサーチサービスを提供するForresterでセキュリティリスクを担当するバイスプレジデント兼リサーチディレクターのメリット・マクシム氏は次のように述べる。
「サイバー攻撃を防御するために組織は高度なセキュリティコントロールやテクノロジーを採用している。しかしサイバー攻撃者が狙う脆弱(ぜいじゃく)性は、システムの中で人間が関わるポイントなのだということがMGMへの攻撃から分かる。ソーシャルエンジニアリング攻撃は新しい手段ではない。攻撃者は、特に多要素認証プロセスに対するソーシャルエンジニアリング攻撃を洗練させ、対象となるシステムを増加させた」
マクシム氏によると組織のITインフラが複雑化するにつれて、リスクは企業の従業員だけでなく外部のビジネスパートナーにも及ぶようになっている。
「2022年の初めに発生したOktaに対する脅威グループLapsus$の侵害では(注3)、特定のシステムに対するアクセス権利を持つ外部のカスタマーサポート業務請負業者への侵害も含まれていた」(マクシム氏)
マクシム氏は「ソーシャルエンジニアリング攻撃がなくなることはなく、防御は難しいままだろう。Oktaのようなアイデンティティー認証サービスを提供する企業はハッキングの標的であり続ける。なぜなら、認証情報の制御または侵害こそ、攻撃者がデータとシステムにアクセスする手段だからだ」と指摘した。
(注1)Threat Group Assessment: Muddled Libra (Updated)(Palo Alto Networks)
(注2)Threat Group Assessment: Muddled Libra (Updated)(Palo Alto Networks)
(注3)Okta says 2.5% of customers breached, as Lapsus$ sows disorder(Cybersecurity Dive)
© Industry Dive. All rights reserved.