Infostand海外ITトピックス
多要素認証破る「MFA Bombing」攻撃 Uberなどにセキュリティ侵害
2022年9月26日 11:10
Uber Technologiesがハッキングされた。社内システムに侵入したハッカーは、社内コミュニケーションに使われているSlackで成功を宣言した。セキュリティ強固とされるMFA(多要素認証)が破られたためで、これまで大きな被害の報告は上がっていないが、影響は大きい。セキュリティ専門家はMFAを過信することに警鐘を鳴らしている。
ハッカーがSlackで成功宣言
Uberのハッキングは9月15日付のNew York Timesで明らかになった。「ハッカーを名乗る人物が、サイバーセキュリティの専門家とNew York Timesに、Uberの電子メール、クラウドストレージ、コードリポジトリの画像を送りつけた」という。
これを受け取った中の一人で、ハッカーとみられる人物とやりとりをしたというYuga Labsのセキュリティエンジニア、Sam Curry氏は「(ハッカーは)Uber(のシステム)へのフルアクセスを掌握している。完全なセキュリティ侵害のように見える」と同紙にコメントしている。
配車サービスや食事デリバリー(Uber Eats)などのサービスに支障はなかったようだが、被害の規模ははっきりしていない。Uberは「ハッカーは複数の従業員のアカウントにアクセスし、最終的にG-SuiteやSlackなどのツールに対する昇格された権限を獲得した」と9月19日の声明で述べている。
ハッカーは、社内でのやりとりに使っているSlackの一部のメッセージをダウンロードしたり、財務担当が請求書管理に使う内部ツールにアクセスまたはダウンロードしたりしたようだ。また、HackerOneのバグ発見報酬プログラムを通じて、外部のセキュリティ研究者から提出された脆弱性が開示されているデータベースにもアクセスしたが、バグは現在修正済みだという。
Uberがクラウドに保管しているユーザーや顧客データは影響を受けておらず、コードベースが変更された形跡もないという。
Uberは「攻撃者はハッカーグループ『Lapsus$』と関係があると見ている」と述べている。