インサイダー脅威を助長する LAPSUS$ – その影響の大きさとは?

2022 年に起こる可能性があるサイバーセキュリティインシデントとして、思いもかけなかった事象が発生しました。ティーンエイジャーの一団（LAPSUS$ と呼ばれる）が、どの大手テクノロジー企業を脅迫すべきかについてクラウドソーシングを実施したのです。しかしこの予期せぬ展開は、どの企業を標的とするかを決定するために犯罪者が使用する戦術の種類、および攻撃の前の情報収集プロセスの興味深い進化を私たちに示してくれました。

LAPSUS$ は南米で形成されたと思われるデータ恐喝集団であり、英国などの他国のメンバーも含まれます。この集団はブラジルおよび他の中南米各国で複数の公共および民間団体のセキュリティを侵害し、また最近ではテクノロジー分野の複数の有名企業へのセキュリティ侵害により悪名を轟かせています。

LAPSUS$ がデータを入手する方法

LAPSUS$ は、これまでのサイバー犯罪グループでは見られなかった 2 つの方法を使用しています。まず、この集団はインスタントメッセージ（IM）グループを通して、現在は 4 万 5,000人を超える支持者との継続的なコミュニケーションを維持し、次の被害者として支持者がどの企業に関心を持っているのかを把握するために、頻繁にアンケートを実施しています。また、過去の被害者から窃取した情報に関心がある購入者がいるかどうかを知るためにも IM を活用しています。

この頻繁なコミュニケーションの動機の 1 つは、急いで情報を盗み出したものの、その情報の購入希望者が見つからないことがあったためのようです。支持者とコミュニケーションを取り続けることにより、大金を得られる可能性が増します。

LAPSUS$ が使用している 2 つ目の戦術は、攻撃しようとしている企業の従業員を買収するなど、見返りを提供するというものです。このような見返りに対して、作業を容易にする認証情報や内部ネットワークアクセスレベルを得ます。

しかしこのグループの行為はこれだけにはとどまりません。企業の内部プロセス、使用されているテクノロジー、最も利益の大きい情報のネットワーク内での場所などについての情報も収集します。グループは、役員の予定や進行中のプロジェクトについての機密情報を提供するように役員秘書をも説得したようです。これは、スピアフィッシングの有効性を飛躍的に高める戦術です。

この種の技法は新しいものではありませんが、LAPSUS$ によるこのような「求人」の宣伝は、IM チャネルを通して集めたコミュニティを効果的に武器化していることを示しています。このグループは、情報を漏洩させることにより、標的ネットワーク内での限られた滞在時間を最大限に活用することを支援する「内部スパイ」のネットワークを構築しています。

これは非常に恐ろしい話に聞こえるかもしれませんが、社内でこのようなスパイを募ることにはマイナス面もあります。人々は自身が関連しているインシデントでさえも報告する傾向があるため、グループに情報を提供している従業員が純粋な悪意からそれを行っているのでない限り、この戦術は侵入者が捕まるまでの時間を短縮する可能性があります。

LAPSUS$ とインサイダー脅威

インサイダー脅威は大手テクノロジー企業だけでなく、あらゆる規模のビジネスに大きなリスクをもたらします。外部の攻撃者からの脅威と比べて、技術およびユーザーの両方の観点で対処がより困難です。

悪意のあるインサイダー脅威は、証拠がうまく隠されていれば、長い間検知されないことがあります。このため、攻撃者が長期にわたって企業の機密情報にアクセスし、組織内の業務を何年間も阻害する可能性があります。LAPSUS$ の攻撃で見てきたように、短い攻撃でも企業の評判に大きな影響を与え、インシデント対応担当者を大いに悩ませます。

Verizon 社の 2021 年データ漏洩/侵害調査報告書によると、インサイダー脅威は侵害の原因の 28% を占めており、インサイダー攻撃の 76% は金銭的利益が動機です。故意のインサイダー脅威の可能性は、内部関係者が誤ってソーシャルエンジニアリングの被害に遭う危険性よりも低いですが、このような攻撃は実際に起きており、壊滅的な結果をもたらすことがあります。

インサイダー脅威への対処

企業はどのようにして潜在的なインサイダー脅威を検知し、対処すればよいのでしょうか。ある内部関係者に対するもっともな懸念があるが、組織がそれを証明できない場合があります。また、攻撃の実行者がへまをして、企業に自身の行為についてうっかり警告してしまう場合もあります。残念ながら、後者のほうが一般的です。つまり、すでに侵害が発生しているということです。

組織がインサイダー脅威を検知した場合、関与した従業員が招く結果は一般的に事態の深刻さによって決まります。従業員が解雇されるだけの場合もあれば、長期の訴訟に発展する場合もあります。いずれにしても、インサイダー攻撃に関与すると多くの個人的なリスクを冒すことになります。

LAPSUS$ のようなサイバー犯罪者のグループが、非倫理的に行動するように従業員を誘惑するために公然と報奨金を提供しているという事実は懸念すべきことです。このグループの図太さは、インサイダー脅威の問題への対処方法について見直す必要性を示しています。解雇や訴訟の可能性だけで、内部関係者が攻撃者を助けることを思いとどまらせるのに十分であると見なすことはできません。

疑わしいか悪意のある行動が検知された場合に、積極的にすばやく対処することを可能にする、人員、プロセス、および最先端のテクノロジーを組み込んだ包括的な戦略の採用が必要です。

テクノロジーは役に立つか ?

LAPSUS$ によるこのような攻撃は、攻撃者が販売可能なデータを獲得するために必要とする期間を短縮したため、インサイダー攻撃をより迅速に特定し、停止させる新たな方法を見つける必要があります。正常なシステム活動でトレーニングされた機械学習（ML）は、従業員が通常の日課と異なる行為を行っているか、または不正を働いている可能性がある場合に、これらを検知するための有用な手段となります。

たとえば、通常はグラフィックデザインのリソースのみにアクセスするグラフィックアーティストが会社の顧客データベースへのアクセスを試みたとします。これは、販売可能な情報を探し回っている形跡であるか、または単に個人的な理由から特定の顧客について興味を持っているだけの場合もあります。

その後、自身のマシンにデータベースや個々の顧客記録のダウンロードを試みて状況を悪化させると、潜在的な攻撃が進行中であると検知されます。この場合、従業員が外部サイトに機密データをアップロードできないように阻止することにより、被害を防ぐことができます。

人間は本質的に非常に予測不能で雑然とした生き物ですが、マルウェアと同様に、特定の行動は、故意であるか過失であるかにかかわらず、企業に損害を与える可能性がある行為をユーザーが行おうとしている兆候である可能性がより高いと判断されます。

インサイダー脅威を防ぐための最良の防御は、時間とともに個々のユーザーの典型的な行動パターンを学習する、インテリジェントなソフトウェアをインストールすることです。これにより、異常が発生した場合に組織は早期の警告を受けることができ、ユーザーの場所やデバイスのタイプなどの要因に基づいて、セキュリティポリシーを動的に適応させることができます。