10代とみられるハッカーがUberのシステムを攻撃した。これにより同社は窮地に立たされているという。ハッカーはどのような手口を用いたのか。攻撃の対象となったシステムは。
ライドシェアサービス「Uber」やフードデリバリーサービス「Uber Eats」を提供するUber Technologies(以下、Uber)は2022年9月19日(現地時間)、サイバー攻撃を受けたことを同社の公式ブログで公表した。攻撃者は10代のハッカーとみられており、攻撃の影響で同社は複数の重要システムをオフラインにする事態に陥った。攻撃者はどのような手口を用いて攻撃したのか。
米紙「New York Times」によると、今回の攻撃者は人間の心理を巧みに利用して機密情報を入手する「ソーシャルエンジニアリング」の手法を用いた。攻撃者はUber社内のIT担当者を装ってUberのセキュリティ請負業者にテキストメッセージを送信し、同社のイントラネットへのアクセス権を取得。Uberのシステムへの侵入に成功した。
その後、攻撃者はUberのネットワークをスキャンし、コマンド実行ツール「PowerShell」のスクリプトを発見した。これには特権アクセス管理(PAM)ツールの管理者ユーザーの認証情報が含まれており、攻撃者はこの認証情報を悪用して、Uberのほぼ全てのシステムに持続的にアクセスできるようになった。
Uberが侵害されたと主張するシステムには、以下が含まれている。
セキュリティニュースサイト「BleepingComputer」によれば、攻撃者は取得した認証情報を用いてUberのバグバウンティプログラム(脆弱性報奨金制度)を運営するサイト「HackerOne」にアクセスし、同社製アプリケーションの脆弱(ぜいじゃく)性に関する情報を盗んだ。これは、同社製アプリケーションに未公開またはパッチ未適用の脆弱性が含まれている場合、危険な状況になることを意味する。
他にも攻撃者は、Slackのメッセージ機能を使用してUberの従業員に侵害したシステムの一覧を送信し、さらにイントラネットにポルノ画像を掲載した。
2022年9月時点で攻撃者がUberの顧客や従業員のデータにアクセスしたかどうかについての情報はないが、その可能性は大いにある。2016年にUberがデータ侵害を受けた事件では、約5700万人のユーザーのアカウント情報が流出した。Uberはこの情報漏えいを隠蔽(いんぺい)したことで、2018年に合計で約1億5000万ドルの和解金を支払うことで各州と合意した。事件発生時の最高セキュリティ責任者(CSO)ジョー・サリバン氏は2022年10月に、この事件についてサンフランシスコの連邦裁判所から有罪を宣告されている。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
トラフィック1300%増、生成AIがEコマースを変える
アドビは、2024年のホリデーシーズンのオンラインショッピングデータを公開した。
「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。
代理店にもAIにも「丸投げ」はダメ 成果報酬型マーケティングを成功させるポイントは?
「成果報酬型マーケティング」を実現する上でインターネット広告業界が直面する課題とは...
ITmediaはアイティメディア株式会社の登録商標です。
