Uberを窮地に立たせた「10代ハッカー」の手口とは：未成年ハッカーによる犯罪【中編】

10代とみられるハッカーがUberのシステムを攻撃した。これにより同社は窮地に立たされているという。ハッカーはどのような手口を用いたのか。攻撃の対象となったシステムは。

[Alex Scroxton，TechTarget]

　ライドシェアサービス「Uber」やフードデリバリーサービス「Uber Eats」を提供するUber Technologies（以下、Uber）は2022年9月19日（現地時間）、サイバー攻撃を受けたことを同社の公式ブログで公表した。攻撃者は10代のハッカーとみられており、攻撃の影響で同社は複数の重要システムをオフラインにする事態に陥った。攻撃者はどのような手口を用いて攻撃したのか。

Uberを窮地に追い込んだ「10代ハッカー」の手口とは？

併せて読みたいお薦め記事

連載：未成年ハッカーによる犯罪

• 前編：10代のハッカーが「Uber」を攻撃した“まさかの目的”

ソーシャルエンジニアリング攻撃関連の注目記事

• 「情報漏えいを引き起こす内部関係者」の半数以上は“あんな人”
• 攻撃者自身もはまる？　「ソーシャルエンジニアリング」を軽視してはいけない

　米紙「New York Times」によると、今回の攻撃者は人間の心理を巧みに利用して機密情報を入手する「ソーシャルエンジニアリング」の手法を用いた。攻撃者はUber社内のIT担当者を装ってUberのセキュリティ請負業者にテキストメッセージを送信し、同社のイントラネットへのアクセス権を取得。Uberのシステムへの侵入に成功した。

　その後、攻撃者はUberのネットワークをスキャンし、コマンド実行ツール「PowerShell」のスクリプトを発見した。これには特権アクセス管理（PAM）ツールの管理者ユーザーの認証情報が含まれており、攻撃者はこの認証情報を悪用して、Uberのほぼ全てのシステムに持続的にアクセスできるようになった。

　Uberが侵害されたと主張するシステムには、以下が含まれている。

• クラウドサービス「Amazon Web Services」（AWS）で稼働するシステム
• Googleのクラウド型オフィススイート「Google Workspace」
• ビジネスチャットツール「Slack」
• VMwareの仮想化製品
• MicrosoftのOS「Windows」
• Duo Securityのユーザー認証ツール
• OneLoginのID管理ツール

　セキュリティニュースサイト「BleepingComputer」によれば、攻撃者は取得した認証情報を用いてUberのバグバウンティプログラム（脆弱性報奨金制度）を運営するサイト「HackerOne」にアクセスし、同社製アプリケーションの脆弱（ぜいじゃく）性に関する情報を盗んだ。これは、同社製アプリケーションに未公開またはパッチ未適用の脆弱性が含まれている場合、危険な状況になることを意味する。

　他にも攻撃者は、Slackのメッセージ機能を使用してUberの従業員に侵害したシステムの一覧を送信し、さらにイントラネットにポルノ画像を掲載した。

　2022年9月時点で攻撃者がUberの顧客や従業員のデータにアクセスしたかどうかについての情報はないが、その可能性は大いにある。2016年にUberがデータ侵害を受けた事件では、約5700万人のユーザーのアカウント情報が流出した。Uberはこの情報漏えいを隠蔽（いんぺい）したことで、2018年に合計で約1億5000万ドルの和解金を支払うことで各州と合意した。事件発生時の最高セキュリティ責任者（CSO）ジョー・サリバン氏は2022年10月に、この事件についてサンフランシスコの連邦裁判所から有罪を宣告されている。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。