マイクロソフトとOktaでさえソーシャル・エンジニアリングに弱い
マイクロソフトは、1980年代に始まったコンピューター革命に不可欠な役割を果たした、世界最大かつ最古のテクノロジー企業の1つである。Oktaは、アイデンティティ・コントロールと他社向けユーザー認証(IAMセキュリティ・ソフトウェアとして知られる)を専門とする、大成功を収めているソフトウェア企業である。そのような素晴らしい血統にもかかわらず、両社は "Lapsus$"として知られる新進気鋭の犯罪グループによってハッキングに成功している。しかし、なぜこのようなことが起こったのか、そして多要素認証は使われたのか?
ラプサス$とは?
Lapsus$は、もともとブラジルで始まったサイバー犯罪グループである。他のハッカー・グループと同様、サイバー犯罪はオンラインという性質上、メンバーは厳密に出身国に限定されない。彼らは2021年12月に活動を開始したばかりで、デジタル犯罪シーンに最近登場した。
しかし、彼らはすでに韓国の大手電子機器メーカー、サムスンやグラフィックカード・メーカーのエヌビディア、さらにはゲーム開発・パブリッシャーのユービーアイソフトなどへの侵入に成功していることが確認されている。彼らは企業の標的を狙い、機密データを盗み出し、身代金を支払わない限りそのデータを公開することを専門としている。
Oktaに何が起こったのか?
Oktaは直ちに影響を受けたクライアントに知らせると同時に、侵入の影響を受けたのは全顧客の2.5%に過ぎなかったと公表した。調査を行った結果、サポート・エンジニアがノートパソコンを5日間無防備な状態にしており、その間にハッキングされた可能性が高いと結論づけた。
このケースでは、Oktaの内部セキュリティが失敗したのではなく、個人のエンジニアによるセキュリティ対策の怠慢が原因でアカウントが乗っ取られ、侵害されたシステムにアクセスされたのだ。
マイクロソフトに何が起こったか
マイクロソフトは、コルタナやビングなどのソフトウェアのソースコードを含む40GB以上のデータを盗まれ、ネット上に公開された。マイクロソフトが調査を行ったところ、データ盗難に関与したのは1つのアカウントであったが、適切な認証によってアクセスが許可されていたため、そのアカウントはハッキングされていなかったことが判明した。
この場合、アカウントは「ソーシャル・エンジニアリング」によって侵害された。ソーシャル・エンジニアリングとは、ハッカーがユーザーを欺いて自発的にアカウント情報を提供させることで、通常は関係者を装うか、ユーザーが他の種類のデータが入っていると思い込んでいるUSBキーにマルウェアをインストールし、それがシステムにインストールされると制御を奪取する。
鍵ベースの多要素認証がもたらす違い
だからこそ、キーベースの多要素認証を実装し、使用する規律が非常に重要なのだ。特定のデバイスやオンライン・アカウントのパスワードを盗むのは簡単だ。キー・ペアを含むこのタイプの多要素認証では、パスワードだけではアカウント・アクセスを許可できないように、追加のゲートとチェックが追加される。しかし、多要素認証が機能するのは、人々がそれに従う規律と、SMS-OTPや電子メール・コードなどの第2の認証要素を使用する余分な作業を引き受ける回復力を持っている場合だけである。
FIDOプロトコルを使用し、フィッシングやその他のアカウント乗っ取りを防止する最大限のセキュリティを提供する、キーベースのパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。
