10代とみられるハッカーがUberのシステムを攻撃した。これにより同社は窮地に立たされているという。ハッカーはどのような手口を用いたのか。攻撃の対象となったシステムは。
ライドシェアサービス「Uber」やフードデリバリーサービス「Uber Eats」を提供するUber Technologies(以下、Uber)は2022年9月19日(現地時間)、サイバー攻撃を受けたことを同社の公式ブログで公表した。攻撃者は10代のハッカーとみられており、攻撃の影響で同社は複数の重要システムをオフラインにする事態に陥った。攻撃者はどのような手口を用いて攻撃したのか。
米紙「New York Times」によると、今回の攻撃者は人間の心理を巧みに利用して機密情報を入手する「ソーシャルエンジニアリング」の手法を用いた。攻撃者はUber社内のIT担当者を装ってUberのセキュリティ請負業者にテキストメッセージを送信し、同社のイントラネットへのアクセス権を取得。Uberのシステムへの侵入に成功した。
その後、攻撃者はUberのネットワークをスキャンし、コマンド実行ツール「PowerShell」のスクリプトを発見した。これには特権アクセス管理(PAM)ツールの管理者ユーザーの認証情報が含まれており、攻撃者はこの認証情報を悪用して、Uberのほぼ全てのシステムに持続的にアクセスできるようになった。
Uberが侵害されたと主張するシステムには、以下が含まれている。
セキュリティニュースサイト「BleepingComputer」によれば、攻撃者は取得した認証情報を用いてUberのバグバウンティプログラム(脆弱性報奨金制度)を運営するサイト「HackerOne」にアクセスし、同社製アプリケーションの脆弱(ぜいじゃく)性に関する情報を盗んだ。これは、同社製アプリケーションに未公開またはパッチ未適用の脆弱性が含まれている場合、危険な状況になることを意味する。
他にも攻撃者は、Slackのメッセージ機能を使用してUberの従業員に侵害したシステムの一覧を送信し、さらにイントラネットにポルノ画像を掲載した。
2022年9月時点で攻撃者がUberの顧客や従業員のデータにアクセスしたかどうかについての情報はないが、その可能性は大いにある。2016年にUberがデータ侵害を受けた事件では、約5700万人のユーザーのアカウント情報が流出した。Uberはこの情報漏えいを隠蔽(いんぺい)したことで、2018年に合計で約1億5000万ドルの和解金を支払うことで各州と合意した。事件発生時の最高セキュリティ責任者(CSO)ジョー・サリバン氏は2022年10月に、この事件についてサンフランシスコの連邦裁判所から有罪を宣告されている。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
