ウーバーで大規模ハッカー攻撃か システムほぼすべて乗っ取られる?
コメント
注目のコメント
色々なところで報じられていますが、この記事が比較的よくまとまっていました。
(Uber からの公式な発表ではないですが)
https://www.bleepingcomputer.com/news/security/uber-hacked-internal-systems-breached-and-vulnerability-reports-stolen/
この記事によると、ハッカーは次の手順で Uber にハッキングを仕掛けた模様。
1. MFA Fatigue 攻撃によって MFA(多要素認証)を突破
2. 社内ネットワークをスキャンし、スクリプトにハードコードされていた PAM のクレデンシャルを発見
3. そこから AWS や G Suite などの各サービスの認証情報を取得
入り口はヒューマンエラーをついたソーシャルハッキングですが、Uber のセキュリティ体制もだいぶ杜撰な印象を受けます。
1. の MFA Fatigue 攻撃というのは、ハッカーが盗み出した認証情報をもとに何度もログインを試みることで従業員に MFA 認証の確認を送りまくり、うっかり許可されることを期待するもの。この記事が分かりやすいと思います。
https://gigazine.net/news/20220217-fatigue-attack-campaign-microsoft-office-365/
MFA ソリューションには短時間に何度もログイン要求された場合にアカウントをロックアウトする機能があるはずですが、今回それが機能したか(設定されていたが従業員がもっと少ない試行回数で許可したのか、そもそも設定されていなかったのか)は不明。
ここまではまぁあり得るかなぁと思うのですが、2. と 3. がちょっと酷い気がします。PAM = Privileged Access Management のことですが、要は機密データにアクセスするための認証情報がスクリプトに生で書き込まれており、それが社内ネットワークに転がっていたと。このセキュリティ意識の低さも気になりますし、そこから AWS・G Suite などあらゆる IT サービスの認証情報を取得できるのもちょっと……。
どこまで本当か分かりませんが、いろいろ気になるニュースです。まず会社のアップデートはこちら。日本時間本日未明のアップデートでは、
・利用履歴などユーザーの機密情報などにまでアクセスしたことは確認されていない
・Uber、Uber Eatsなどすべてのサービスは運営中
・警察には連絡済み
・予防的措置として止めていた内部ソフトウェアは徐々に回復させ始めている
https://www.uber.com/newsroom/security-update/
そのうえで、下記The Vergeなどいくつかの報道を見ていくと、内部のSlackに、そこでアクセスした機密情報のリスト(Confluenceなど)と、ドライバーへの支払いが少ないというハッシュタグも含めて投稿。
今のところ、ソーシャルエンジニアリング(詐欺的なものなど非技術的手法)でログイン情報を得たうえで、イントラにあったPowerShellのスクリプト(MSの実行言語)をみつけて、そこからAWSなどへアクセスできるよういなったのではないかと報じられている。
https://www.theverge.com/2022/9/16/23356213/uber-hack-teen-slack-google-cloud-credentials-powershell今の時代のセキュリティー思想では、
「如何に入られない様にするか」
だけでは無く入られない対策をした上で、
「入られる事を前提にした対策作り」
を如何にしていくかと言う事が重要、
と言うDevSecOpsと言う考えが
主流になってきています。
そしてPDCAサイクルの様に、
DevSecOpsのサイクルを回しながら、
対策を常にアップデートし強化するのが
とても大切ですので、
今後如何なる対策をしていくのか、
と言うところも注目ですね。
インフラをネットに接続しデジタル化すれば、
Uber社だけでなく多くのインフラで、
同様の事が起こりますので、
今後デジタル化が促進されていく日本は、
政府組織を含めDevSecOpsの思想を持って
システム設計と運用に取り組んでいく必要があります。
個人的にはエドワード・スノーデン氏の暴露で
明らかになった米国がスタックスネット、
或いはそれに類するマルウェアを
日本のインフラ制御システムに仕込んでいる、
と言う事がわかった後で何も対策がされていない、
と言うのが不安です。
起動方法さえ分かれば誰でも日本のインフラを
破壊したり機能停止にする事が出来る訳です。
米国は中国企業のHUAWEI社の製品に
バックドアなどが仕込まれていると指摘して
インフラ利用や政府機関での利用において
排除する様になっていますが、
米国製電子機器のハードウェアやOSにも、
出荷時点で米国政府に都合の良いシステムが
既に仕込まれている可能性はあります。
人類の歴史を見ても、
自分達が誰かに好き放題やって来た事を、
相手がするかも知れない、
と言う想像から拒否や弾圧が起きてますから、
あながちデタラメでは無いのかも知れません。
Uber社の記事へのコメントとしては、
だいぶ脱線してしまいましたが、
やはりインフラに準ずるサービスを
提供している以上は、
悪意ある侵入を前提としての、
システム設計や冗長性による強靭化が、
大切だと言う事です。
外部からのアクセスだけでなく、
米国製や中国製の部品を全て拒絶するのは、
現状において現実的ではありませんから、
リスクを可能な限り低くした上で、
それらに何かが仕込まれている事を
前提として対策を立てていく事が、
必要なのかも知れません。
