半導体製造大手のNVIDIA(エヌビディア)から1テラバイト分のデータを奪ったと主張するランサムウェア集団は、一味のますます奇妙な要求に応じなければ、同社の「最も厳重に守られた秘密」をすぐにでも公開すると脅迫している。
NVIDIAからデータを盗んだことを、2月末に初めて表明したランサムウェア集団「Lapsus$」は、すでにデータの流出を始めている。データ漏洩監視サイト「Have I Been Pwned(ハブ・アイ・ビーン・ポウンド、HIBP)」によると、このハッカーたちは7万1000人以上のNVIDIA従業員の認証情報を盗んだとのこと。TechCrunchが確認したところでは、盗まれたNVIDIAのいくつかのメールアドレスは、すべて流出したようだ。HIBPによると、データにはメールアドレスとWindowsのパスワードハッシュが含まれており「その多くがクラックされ、ハッキングコミュニティ内に流通した」という。
NVIDIAは先日、攻撃を受けて従業員の認証情報が盗まれたことを認めたものの、影響を受けた人々に通知したかどうか、あるいは漏洩したアカウントのパスワードリセットを強制したかどうかについては、明言を避けた。この事件の影響が広がり、ハッカー集団の要求する期限が迫っているにもかかわらず、NVIDIAの事件対応ページは3月1日以降更新されていない。
ハッカー集団は現在、NVIDIAがこのグループの奇妙な要求に応じない限り、回路図やソースコード、まだ発表されていない「RTX 3090 Ti」を含む最近のNVIDIAのグラフィックチップに関する情報など、同社の企業機密を公開すると脅している。
同グループはNVIDIAに対し、同社のRTX 30シリーズのグラフィックカード製品に搭載されている、物議を醸したEthereum(イーサリアム)採掘性能を制限する「Lite Hash Rate(LHR)」の削除を要求している。この性能制限は、暗号マイニングコミュニティの買い占めによって製品の在庫が枯渇し、ゲーマーが新しいグラフィックカードを入手できなくなったことを受けて、2021年5月に導入されたものだ。
「我々は、NVIDIAがすべての30シリーズのファームウェアに、すべてのLHR制限を削除するアップデートを配信することを望んでいる。さもなければ我々は(企業機密データが含まれる)フォルダをリークする」と、Lapsus$グループはTelegram(テレグラム)で述べている。「もし彼らがLHRを削除したら、我々はこのフォルダのことを忘れるだろう…。我々はどちらもLHRがマイニングとゲームに影響を与えることを知っている」。
先週初め、Lapsus$は別のおかしな要求を追加した。それは、NVIDIAに対して、macOS、Windows、Linux向けの、すべてのグラフィックチップのドライバをオープンソース化することを望むというものだ。同グループはNVIDIAに対し、3月4日までに応じるよう要求していた。
この日、TechCrunchはNVIDIAに、ハッカーの要求に応じる予定があるかと尋ねたが、同社はコメントを避けた。代わりに同社は、3月1日に発表したとものと同じ声明を我々に提示した。
画像クレジット:Getty Images
[原文へ]
(文:Carly Page、翻訳:Hirokazu Kusakabe)
