サイバー攻撃者を知り、備える
新興のサイバー攻撃者グループ:Lapsus$
Lapsus$は南米を拠点にしていると伝えられているサイバー攻撃グループであり、半導体メーカーであるNVIDAやMicrosoftなど著名なハイテク企業に対する攻撃で話題となりました。 Lapsus$による攻撃の手口や恐喝金額は一様ではなく、世界的にメンバーが存在していることが示唆されており、数人単位のグループというよりも規模の大きいサイバー攻撃者のコミュニティと言えるでしょう。
Lapsus$はTelegramを活用する
Lapsus$はTelegramを活用し、協力者を「リクルート」している
既知のランサム攻撃グループは、窃取したファイル(の一部)をダークウェブに公開・恐喝することが一つ特徴としてあげられますが、Lapsus$はコミュニティ活動を促進するためにTelegramを使用することが確認されています。
ターゲットとなる組織への不正アクセス(ログイン)するための認証情報の取得には、闇のマーケットからの入手の他、SNSなどを通じて内通者や協力者を募集、また、ソーシャルエンジニアリングを通じて入手します。
ソーシャルエンジニアリングとは、技術的な手法によらず、人間の心理的な隙や行動ミスにつけこんでその個人が持つ情報を入手する方法と定義されています。
皆さんがTwitterやInstagram、Facebookを利用中に、みず知らずの方から挨拶をされたり、色々な事を聞かれた経験はありませんか?もしかしたらそれはサイバー攻撃者が行うソーシャルエンジニアリングかもしれません。
私たちにできること
Lapsus$は、攻撃にランサムウェアやEmotetといったマルウェアを使用しないことが特徴のようです。
攻撃には脆弱性やセキュリティ対策の不備をつく他、Stealerと言われる情報窃取プログラムやリモートデスクトップソフト、Mimikatzなど(サイバー攻撃者の中で)良く知られたツールを利用します。
Lapsus$のメンバーのうち若年層の数人は当局によって逮捕されたとの報道も確認されていますが、既知のランサム攻撃グループとは違ったLapsus$のようなサイバー攻撃グループがどのように攻撃を行うのか、
私たちにセキュリティ対策や管理のヒントを示唆されていると思います。
上記に挙げた対策や管理は一例となりますが、海外のサイバー攻撃者動向にも注目しつつ、自組織のリスクマネジメントの一助になれば幸いです。
