マイクロソフト、ハッカー集団LAPSUS$によるアカウントへの「限定的なアクセス」認める

　Microsoftは米国時間3月22日、ハッカー集団「LAPSUS$」が関与するとみられる攻撃で、1つのアカウントへの「限定的なアクセス」があったことを認めた。同社のセキュリティチームは、攻撃を途中で阻止したとしている。

　LAPSUS$は21日、Microsoftをハッキングし、「Bing」「Bing Maps」「Cortana」のソースコードの一部を取得したことを明らかにしたという。Microsoftの調査チームは、LAPSUS$を「DEV-0537」として、数週間追跡していたとしている。LAPSUS$は、世界の政府機関やハイテク、通信、メディア、小売、医療業界を標的としているという。南米のハッカー集団で、サムスンやNVIDIAのデータ漏えいに関与したとみられている。

　Microsoft脅威インテリジェンスセンター（MSTIC）が22日に公開したブログ記事によると、「DEV-0537 は、ランサムウェアのペイロードを展開することなく、純粋な脅迫と破壊のモデルを使用することで知られている」という。「DEV-0537 は、仮想通貨（暗号資産）取引所で個人ユーザーアカウントを乗っ取り、保有する仮想通貨を流出させることでも知られている」（MSTIC）

　この集団は、電話ベースのソーシャルエンジニアリング、SIMスワッピング、標的とする組織の従業員やベンダーに金銭を支払って認証情報を入手するなどの手段を利用しているとMicrosoftは説明した。LAPSUS$は活動を隠そうとしていないようだ。認証情報を購入する意思を宣伝したり、ソーシャルメディアで攻撃を公表したりしているという。

　Microsoftは、「攻撃者が侵入を公表した際、当社のチームは脅威インテリジェンスに基づいて、すでに侵害されたアカウントを調査していた」とし、「公表を受け、われわれが対応をさらに強化したことで、当社のチームはアクターの活動を途中で阻止し、影響の拡大を抑えることができた」と説明した。

　データ漏えいの件数はどの業界でも増加している。Identity Theft Resource Centerのレポートによると、米国で2021年のデータ漏えい件数は前年比で68％増加し、過去最高を記録した。

　LAPSUS$は、ID管理や認証サービスのOktaを標的とした1月の不正アクセスの試みについても、自らの犯行だと主張した。Oktaの最高経営責任者（CEO）Todd McKinnon氏は22日、1月の問題は「封じ込めた」とし、その後悪質な活動が続いている痕跡はないと述べた。