ハッカーLapsus$はOkta侵入前にSitelのパスワード一覧にアクセスしていた

TechCrunchが確認したまだ報じられていないコンピューター侵入の新たな詳細をつづっている文書によると、Lapsus$のハッカーは2022年1月に顧客サービス大手Sitel(サイテル)のネットワークに侵入し、その数日後に認証大手Okta(オクタ)の内部システムにアクセスするのに漏洩した認証情報を使用した。

ハッカー集団Lapsus$が約2カ月前にOktaの内部アプリとシステムにアクセスしていたことを明らかにするスクリーンショットを公開し、顧客は3月22日にOktaの1月のセキュリティ侵害を知った。Oktaはブログ投稿で侵害を認め、その後、同社の法人顧客のうち366社、つまり顧客ベースの約2.5%が侵害の影響を受けていることを認めた。

今回の文書は、Sitelの侵害に関するこれまでで最も詳細な説明で、これによりハッカーは後にOktaのネットワークにアクセスすることができた。

Oktaは、シングルサインオンプロバイダーとして、世界中の数千の組織や政府機関に利用されており、従業員はメールアカウントやアプリケーション、データベースなど、企業の内部システムに安全にアクセスできるようになっている。

独立系セキュリティ研究者のBill Demirkapi(ビル・デマーカピ)氏が入手し、TechCrunchと共有した文書には、ハッカーが最初にSitelのネットワークに侵入してから1週間以上経った1月25日に送られたSitelの顧客とのやり取りや、インシデント対応企業Mandiant(マンディアント)がまとめた3月17日付のSitel侵入に関する詳しいタイムライン(Oktaと共有されたもの)などが含まれている。

文書によると、Sitelは2021年に買収したOktaの顧客サービス会社Sykesが所有する古いネットワーク上のVPNゲートウェイでセキュリティインシデントを発見したという。VPN(仮想プライベートネットワーク)は、企業のネットワークにリモートアクセスするために悪用される可能性があるため、しばしば攻撃者のターゲットとなる。

タイムラインには、攻撃者がリモートアクセスサービスと一般公開されているハッキングツールを使用してSitelのネットワークを侵害して入り込み、Lapsus$がアクセスできた5日間にネットワークへの可視性を深めていった様子が詳細に記されている。Sitelは、自社のAzureクラウドインフラも侵害されたと述べた。

タイムラインによると、ハッカーは1月21日未明にSitelの内部ネットワーク上の「DomAdmins-LastPass.xlsx」と呼ばれるスプレッドシートにアクセスした。このファイル名からして、スプレッドシートにはSitel従業員のLastPassパスワードマネージャーからエクスポートされたドメイン管理者アカウントのパスワードが含まれていることがうかがえる。

約5時間後、ハッカーは新しいSykesユーザーアカウントを作成し、組織への幅広いアクセスを持つ「テナント管理者」と呼ばれるユーザーグループにそのアカウントを追加し、後に発見されてロックアウトされた場合にハッカーが使用できるSitelのネットワークへの「バックドア」アカウントを作成したと思われる。Oktaのタイムラインによると、Lapsus$のハッカーはほぼ同時期にOktaのネットワークに侵入していたようだ。

タイムラインでは、ハッカーが最後にSitelのネットワークにアクセスしたのは1月21日午後2時(協定世界時)で、パスワードのスプレッドシートにアクセスしてから約14時間後だった。Sitelは攻撃者を締め出そうと、全社的にパスワードのリセットを行った。

Oktaは3月17日付のMandiantの報告書を受け取った後、Sitelの侵害についてもっと早く顧客に警告しなかったことで批判にさらされている。同社の最高セキュリティ責任者David Bradbury(デイビッド・ブラッドベリー)氏は、同社が「その意味を理解するためにもっと迅速に行動すべきだった」と述べた。

本稿掲載前に連絡を取った際、Oktaはコメントできなかった。SitelとMandiantは記事の内容に異論はなかったが、コメントを控えた。

Oktaはここ数カ月でLapsus$ハッキング・恐喝グループに狙われたいくつかの有名企業の1社にすぎない。Lapsus$グループは、12月にブラジルの保健省を標的にしたサイバー攻撃で同国民のワクチン接種情報など50テラバイト分のデータを盗み出し、ハッキングシーンに初めて登場した。それ以来、このグループはポルトガル語圏の企業数社Samsung(サムスン)、NVIDIA(エヌビディア)、Microsoft(マイクロソフト)、Oktaなどのテック大手を標的とし、Telegramチャンネルの数万人の購読者にアクセスや盗んだデータを売り込み、一方で被害者の盗んだファイルを公開しない代わりにしばしば変わった要求を突きつけてきた。

英国の警察は先週、事件に関連する7人を逮捕したと発表したが、いずれも16歳から21歳の若者だった。

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。