Samsung(サムスン)は、ハッカーが生体認証のロック解除操作に関するさまざまな技術やアルゴリズムのソースコードを含む約200ギガバイトの機密データを入手し、流出させたことを確認した。
NVIDIA(エヌビディア)に侵入し、その後数千人の従業員の認証情報をオンラインで公開したのと同じハッキンググループ「Lapsus$」が、この情報漏洩に関わっている。Lapsus$は、Telegramチャンネルへの投稿で、Samsungの携帯電話が機密処理を行うために使用するTrustZone環境にインストールされた信頼できるアプレットのソースコード、すべての生体認証ロック解除操作のアルゴリズム、最近のSamsung Galaxyデバイスすべてのブートローダーのソースコードを入手したと主張している。
また、盗まれたデータには、米国で販売されるSamsungのスマートフォンにチップセットを供給している米国のチップメーカーQualcomm(クアルコム)の機密データも含まれているとされている。
ソースコードにアクセスすることでハッカーは、他の方法では容易に発見できないセキュリティ上の脆弱性を見つけることができ、影響を受けるデバイスやシステムが悪用やデータ流出のリスクにさらされる可能性がある。
SamsungとQualcommの広報担当者にコメントを求めたがすぐに返事はなかった。しかし、ブルームバーグと共有した声明の中で、Samsungは特定の社内データに関する「セキュリティ侵害」を確認したが、ハッカーによる顧客や従業員の個人データへのアクセスはないと述べた。
「当社の初期分析によると、情報漏えいはGalaxy端末の操作に関連する一部のソースコードに関係していますが、当社の消費者や従業員の個人情報は含まれていません」とSamsungの声明にはある。「現在のところ、当社の事業や顧客への影響はないと考えています。我々は、このようなインシデントを防止するための措置を実施しており、混乱することなく、顧客にサービスを提供し続けます」。
Lapsus$が、NVIDIAに向けて奇妙さを増している要求をしたのと同様に、データを流出させる前にSamsungに身代金を要求したかどうかはまだ明らかではない。このハッカー集団はNVIDIAに対し、物議を醸したLite Hash Rate (LHR)機能を無効にするよう求め、さらにはmacOS、Windows、Linux デバイス用のグラフィックチップドライバのオープンソースを要求した。
この要求の期限は3月4日だったが、ハッカー集団はまだその脅しを実行していない。
画像クレジット:David Paul Morris / Bloomberg
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)
