大手IT激震のハッカー集団LAPSUS$とは? 16歳の主犯逮捕で終息なの?

GIZMODO

16歳で16億円。

企業の内部情報を盗んで脅迫とリークを繰り返し、シリコンバレーを混乱に陥れている謎のハッカー集団LAPSUS$SamsungNvidiaUbisoft、Vodafone、EA、LGに続いてMicrosoftOktaも狙われるなか、犯行に関与した疑いで16~21歳の7名が英国で逮捕されました

このうち主犯と目されているのは、オックスフォード近郊に住む16歳の少年(ハンドルネーム「White」)。敵対する犯行グループによって身バレされたのが逮捕の糸口になりました。これで状況が好転するといいのですが…。

またいつ何どき類似の犯行が襲ってこないとも限らないので(現に継続中)、グループの犯行の手口と特徴、従来のサイバー犯罪組織との違いを簡単に見てみましょう。

犯行を隠しもしない劇場性

まずLAPSUS$がほかのグループと違うのは、「犯罪の痕跡を隠しもしないこと」です。Microsoft Threat Intelligence Cente([MTIC)はこう説明しています。

「SNSに犯行声明を出したり、ログイン情報買います!と攻撃対象の企業の社員に呼び掛けることまで彼らはやる」(MTIC公式ブログより)

まるで見世物感覚。ひたすら目立つことをやるのがLAPSUS$です。

最初は火遊び感覚

シリコンバレーの大企業に狙いを定めるようになる前は、欧州と南米のポルトガル語圏を足場に、しょうもないイタズラを繰り返していました。たとえばこんなの。

・ブラジルのレンタカー会社のサイトを乗っ取って、トップページからポルノサイトにリダイレクト

・ポルトガルの新聞社のTwitterアカウントを乗っ取って「LAPSUS$がポルトガル新大統領に就任」とツイート

やがて身代金目的に変貌したが目的を忘れることもある

それが、やがて身代金目的になっていくわけです。

最初は手口が似ていることから「ランサムウェアギャング」と報じられたりもしましたが、ランサムウェアは一度も使っていません。LAPSUS$はデータを窃取後、身代金を払わないとリークすると脅すシンプルなスタイル。マルウェアを仕込んでシステムに侵入してデータを窃取後暗号化をかけて、復元用に金銭をせびり、支払わないとリークするぞとまた金銭をせびる二重恐喝が特徴のランサムウェアとは似て非なるものです。

…と書くとチョロそうに聞こえますが、ランサムウェアギャングが利益最大化を目指す統制のとれた企業マフィアであるとするなら、LAPSUS$は何を目指しているのかもわからない無秩序なスタートアップ。やもすると身代金要求するのをスッコーンと忘れてデータを大量リークしたりもするので「おまえらなんのために盗んだんだよ! 頼むよ!」という別の危なっかしさがあります。ランサムウェアみたいな時限タイマーもありませんしね。こういうの企業は一番困るんだよね…企業サイドとしては。

というわけで、Microsoftのセキュリティ研究員たちの間では早くも「ピュアな恐喝破壊モデル(pure extortion and destruction model)」という、名誉なんだか不名誉なんだかよくわからない名前がつきました。カオスな本質をうまく捉えていると思います。

よくある侵入手口

そんなお子ちゃま素人集団LAPSUS$が、高度なマルウェアもなしに、どう世界一流の企業のシステムに侵入するのかというと、突破口になっているのは、だいたい次のようなものです。

・パスワードを盗むマルウェア「Redlie」を使う

ソーシャルエンジニアリングのあの手この手で情報を引き出す

・ダークネットフォーラムで社員からアカウントログイン情報やセッショントークンを買い取る

・採用情報のように、社内不満分子の内通者をネットで公募する

要は、ランサムウェア以外はなんでもアリなのですね。

社内スパイに週250万円

このうち企業にとって最恐なのは、やはり最後の項目じゃないでしょうか。不満分子なんていくらでもいますもん。

気になるのは見返りですが、ハッカーの手先になるのと引き換えに社員が受け取る報酬は、たとえば、米通信大手ベライゾンやAT&T(日本のドコモ、au、ソフトバンクに相当)の社員ですと、最高2万ドル(約250万円)/週のオファーが出たこともあります。毎週250万円もらえる誘惑に勝てる人は…なかなか。

そんな不安定な時流に押されてLAPSUS$は協力者に困ることもなく大繁盛。先日お伝えしたとおりMicrosoftもとうとう標的になってしまいました。

「Bingマップのソースコードの90%、BingとCortanaの約45%を公開しました。エンジョイ!」と発表するLAPSUS$
Screenshot: Lucas Ropek/Telegram

Okta(オクタ)が狙われたときには、ユーザID認証の会社ですので、影響は自社のみならず、同社のセキュリティサービスを利用するクライアント数千社にまで広まるのではないかと心配されましたが、いちおうOktaの発表では、LAPSUS$禍の影響は多く見ても366社にとどまるとのことです。

金 < 承認欲求 < スリル

LAPSUS$はリークのアプローチも独特です。サイバー犯罪組織にしては珍しく、暗号化が中途半端なTelegramを連絡手段に使っているのです。

ふつう、ランサムウェアのハッカーはリーク専用の殺風景なサイトを用意して、データに手を加えて小出しにしながら要求を徐々に釣り上げるものですけど、そういうことはしません。上のスクリーンショットみたいに、SNS公式チャンネルをメガホンにして犯行の一部始終をじゃんじゃん報告して、フォロワー(Telegramは4万8,000人いる)とコメントやメールでやりとりを楽しんでいるんですね。

お金より承認欲求が強くて、それより強いのがハッキングの衝動。ここが問題で、効率よく金儲けすることには、ほかの犯行グループほど興味がないんですね。ひたすらアドレナリンラッシュ、目立つかどうかを基準に動くので、ある意味、余計に性質が悪いんですよ。

半分大人で半分アマチュア

米GIZMODOが話を聞いたセキュリティの専門家はみな「あんまり長続きする気はしない」と言ってました。ハッキングはうまくても、犯罪をビジネスにするのがあまりうまくないので。捕まった7人の年齢を見て、なるほどと納得しているところです。

セキュリティ会社EmsisoftのアナリストのBrett Callowさんにメールでコメントを求めたら、統制のとれた効率のいい組織には見えないと言ってました。

「もっと指揮系統の整ったサイバー犯罪組織や国の後ろ盾のある組織の攻撃だったら、被害はこんなものじゃ済まなかっただろう」

「無論、だからといってLAPSUS$のようなグループの脅威を甘く見ていいのとは違う。ほかのサイバー犯罪組織ほど目的が明確に定まっていないから、逆に対処が難しいという側面もあるからね」

EAをハックできるのに強請(ゆす)り方がわからない

逮捕の前に直接コンタクトのあった人も約1名います。MotherboardのJoseph Cox記者がそれ。一部始終をまとめた記事を読むと、まるで漫画です。なんか、去年の夏にゲーム大手エレクトロニック・アーツ(EA)のシステムをハックしたまではいいのですが、身代金のせびり方がわからなくて、出入りの記者に橋渡し頼めばいいんじゃね?と思いついて恐喝の仲介役を頼んできたそうなのです。不良記者じゃなくてよかったね…。

それもあって、セキュリティ業界では、「LAPSUS$もしかして金の受け取り方わからないんじゃ…」と囁かれていました。SecurityScorecard社のアナリストたちもブログにこう書いています。

「LAPSUS$は、盗んだデータと引き換えに実現性の乏しい要求を突き付けてくることもある」

「盗んだデータの対価として、いくらぐらいの身代金を要求するのが妥当なのか判断つきかねているように見受けられる。また、情報をリークされたくなかったら金を払えという交渉の段階でも、犠牲者にあまり時間的な猶予を与えない傾向がある」

「そもそも金銭が目的ではないという解釈もできる」「絶対払えない金額を要求すれば、相手は払わないので、有名企業のデータをリークして世間の注目を浴びることができるのだ」

LAPSUS$は騒ぎを起こすのが単に面白くてやめられない。そういう幼稚性も頭に入れておきたいポイントですね。

主犯の少年「White」とは?

主犯の16歳少年(ハンドルネームはWhite、Oklaqq、Breachbaseなど多数)は英オックスフォード近郊に母親と暮らしています。 「自閉症で、学校はオックスフォード市内にあるスペシャルニーズの学校」だというのがBBCのつかんだ情報です。短いインタビューに答えて母親は「父親がいいと言うから長時間パソコン漬けだった」が「ゲームか何かをやってるものとばかり思っていた」と話しています。

敵対するグループに本名などの身元特定情報を明かされたのは1月のこと。場所はDoxbin(物議を醸している身バレ専用サイト)。投稿者は「Whiteは300ビットコイン以上のお金を貯めこんでいる。現レートでは1400万ドル(約16億円)近い価値」だと書きこんで、LAPSUS$のことを「ランサムウェア犯罪グループのワナビー(修行中のアマチュア)」だと揶揄しました。

「Whiteが身バレされたのは、以前Doxbin運営者と取引関係があったからだ」とサイバーセキュリティ企業Unit 221B社のAllison Nixon最高調査責任者は解説しています。今回の身元特定についてコメントを求めたら、個人情報を特定して公開したのは「敵対関係にある犯罪グループ」に間違いないと言ってました。WhiteはDoxbinを買い取ったけど運営が下手で、サイトが放置されて荒れ放題になり、頭にきた元オーナーがDoxbinを買い戻して身元特定情報を公開した…という流れらしい…。元の投稿は米GIZMODOも見ましたが、未成年ですのでこれ以上の個人情報の公開は控えておきます。

Nixonさん曰く、ほかの多くのセキュリティ会社と共同体制を組んで、この1年はWhiteの足取りを追う作業にほぼかかりきりだったそう。実は身元をつかんだのは昨年中盤で、その後、警察に通報したとも言ってました。すぐ捜査に着手したかどうかは不明。なんで逮捕に1年もかかったのかも不明です。

一件落着…なの?

逮捕で一件落着と思ったのもつかの間。30日には、LAPSUS$を名乗る人物が、ルクセンブルクに本社のある国際ソフトウェア開発会社Globantのデータ70GB分を盗んだと発表しました。

セキュリティ研究員がスクリーンショットをとってこちらに公開していますが、Apple Healthアプリなどのファイル名もあって穏やかじゃありません(GlobantはAppleWatchで社員の健康状態を追跡するBeHealthyアプリをAppleと共同開発している)。Globantは大きな影響はないと発表しましたが、 LAPSUS$はTelegramで「中休みは終わりだ」とリンクを公開しています。

模倣犯が後から後から出てくる…なんてことにならなきゃいいなあ…。