米Microsoftは3月22日(現地時間)、同社からもソースコードの一部を奪ったハッキンググループLapsus$について、手口や対策をまとめた公式ブログを公開した。
20日にLapsus$(Microsoftは「DEV-0537」と呼んでいる)がTelegramで宣言したMicrosoftから入手したソースコードについては、「顧客のコードやデータは含まれていなかった」とし、侵入されたのは1つの従業員アカウントからだったと説明した。侵害されたアカウントはすぐに修正しそれ以上の活動を防いだとしている。同社はコードの機密性に依存していないため、ソースコードを公開されてもリスクは高まらないという。
Lapus$については、ランサムウェアを使わず、盗んだデータを公開あるいは破壊すると恐喝するグループだと説明。また、暗号資産取引所でユーザーアカウントを乗っ取って、暗号資産を奪うことでも知られているという。
攻撃の手段は、スマートフォンベースのソーシャルエンジニアリング、アカウント乗っ取りのためのSIMスワッピングなどを使う。
また、標的とする企業の従業員やサプライヤー、ビジネスパートナーの従業員に向けて、Telegramなどで資格情報を購入したいと宣伝していることも紹介した。
対策としては、多要素認証の導入、「Microsoft Defender Antivirus」などによるクラウドの保護、VPN認証での最新の認証オプションの採用、ソーシャルエンジニアリングに関する従業員の教育などを推奨した。
攻撃手段の詳細については原文を参照されたい。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR