SIMスワップで組織内部に侵入 Lapsus$の手口と攻撃を緩和する10の方法
CSRBは脅威アクター「Lapsus$」に関する調査報告書を公開した。Lapsus$はSIMスワップやフィッシングといった一般的な悪用技術を使って数々の有名企業に不正アクセスしている。この攻撃を緩和する10の方法とは。
米国国土安全保障省(DHS)は2023年8月10日(現地時間)、サイバー安全審査委員会(CSRB)が脅威アクター「Lapsus$」について調査した結果をまとめた報告書「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」を公開したと報じた。
Lapsus$はSIMスワップといった攻撃手法を駆使して数十の組織への侵入に成功している。報告書ではパスワードレス認証の推進やソーシャルエンジニアリング対策、連邦対応機関へのタイムリーな報告など10の緩和策が提言されている。
CSRBはLapsus$に関する調査結果「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」を公開した(出典:CSRBの報告書「Review Of The Attacks Associated with Lapsus$ And Related Threat Groups」)
SIMスワップで組織内部に侵入 Lapsus$の手口と10の緩和策
Lapsus$は2021年後半から2022年後半にかけて金銭的利益や娯楽目的で、MicrosoftやCisco、Okta、Nvidia、T-Mobile、Samsung、Uber、Vodafone、Ubisoft、Globantなどの有名企業への侵入を成功させている。
同グループは侵入の初期ベクトルとして、SIMスワップによる携帯電話番号の窃取や従業員に対するフィッシングといった他の脅威アクターでも実行できる低コストの手法を採用している点が特徴だ。
Lapsus$はSIMスワップを利用して、被害者の電話番号を制御してさまざまな企業サービスへのログインや企業ネットワークへの侵入に必要な二要素認証用のSMSベースの一時コードを受信する。その後企業の内部ネットワークにアクセスし、ソースコードや独自技術の詳細、ビジネス・顧客関連の文書などの機密情報を窃取する。
報告書ではこうしたサイバー攻撃の被害を避けるために以下の10の緩和策を提言している。
- パスワードレス認証に移行する
- ソーシャルエンジニアリングが効果的に機能しないように努力する
- 不正なSIMを使った攻撃に対するレジリエンスを実現する
- 米連邦通信委員会(FCC)および米国連邦取引委員会(FTC)の監督および執行活動を強化する
- 破壊的なサイバー攻撃に対する計画の立案と予防、対応、回復能力への投資を実施する
- 顧客企業およびビジネスプロセスアウトソーサーにおけるリスク管理の成熟化および強化の実現と、それに対する政府支援を実施する
- 少年サイバー犯罪の予防および介入のための社会全体プログラムとメカニズムを推進する
- 連邦対応機関へのサイバー攻撃のタイムリーな報告を実施する
- 国際的な法執行協力を強化する
- ソーシャルエンジニアリング攻撃に対する緊急開示要求への耐性を強化する
今回、CSRBによってまとめられた報告書は全ての組織がフィッシングに強い多要素認証(MFA)の導入を実施することや、サイバー耐性を高めるための緊急措置を講じる必要性を指摘する内容になっている。
多要素認証(MFA)はサイバー攻撃への有効な対応手段とされてきたが、最近ではこれを回避する手法も浸透しつつある。MFAに加えて基本的な対策を講じることを怠らないようにしたい。
関連記事
- 日本でも初摘発された“SIMスワップ” 確実な防御策がない中でも“できること”
このコラムでも以前紹介していたサイバー攻撃手法“SIMスワップ”が日本で初めて摘発されました。これから本格化する可能性があるこの犯罪を改めて学び直しつつ、有効な防御策を考えていきましょう。 - 気付かないうちに電話番号を盗まれる「SIMスワップ」が日本で本格化? 対策を考える【訂正あり】
欧米で流行していた「SIMスワップ」というサイバー攻撃手法が日本でも流行の兆しをみせています。そもそもSIMスワップとは何か。なぜこのサイバー攻撃に注意すべきなのかを筆者が解説します。 - 150万人がクラウドアカウント乗っ取り被害 MFAをバイパスするEvilProxyとは?
Proofpointによるとこの6カ月で大手企業のクラウドアカウント乗っ取り事件が100%以上急増して150万人が被害を受けたという。MFAがバイパスされるケースが増えており、その対策として幾つかの案が提案されている。 - AzureにDDoS攻撃を仕掛けたハクティビスト、Stripeらへの侵害にも関与をほのめかす
「Microsoft Azure」や「Microsoft OneDrive」のDDoS攻撃への関与が疑われるハクティビストAnonymous Sudanは、StripeやRedditに対する侵害についても自分たちの仕業であると主張している。
関連リンク
- Review Of The Attacks Associated with Lapsus$ And Related Threat Groups Report | CISA
- Review of the Attacks Associated with LAPSUS$ and Related Threat Groups
- Cyber Safety Review Board Releases Report on Activities of Global Extortion-Focused Hacker Group Lapsus$|Homeland Security
- Lapsus$ hackers took SIM-swapping attacks to the next level
Copyright © ITmedia, Inc. All Rights Reserved.