米Uber Technologiesは9月19日(現地時間)、15日に受けたサイバー攻撃についての公式ブログを更新した。攻撃者は、MicrosoftやOktaなどへの侵害で知られるサイバー犯罪グループ「Lapsus$に所属していると考えられる」としている。

 Uberは「週末には、同じ攻撃者がRockstar Gamesに侵入したという報告もある。われわれはこの問題について米連邦捜査局(FBI)および米司法省(DoJ)と緊密に連携しており、その取り組みを支援していく」と語った。Rockstarはシステムに侵入されたことは認めたが、攻撃者やその手口についてはまだ言及していない。

 米New York Timesなどによると、Uberへの侵入者はUberに対し、自分は18歳で、Uberのシステムに侵入したのは同社のセキュリティが脆弱だったからだと述べたという。また、Rockstarに侵入したという人物はGTAForum上で、自分はUberにも侵入したと主張した。

 Uberによると、攻撃者はまず、マルウェアに感染したUberの請負業者の個人用デバイスのパスワードをダークWebで購入した可能性が高いという。この請負業者のUberアカウントへのログインを成功させた攻撃者は、複数のUberの従業員のアカウントにアクセスし、G SuiteやSlackなどの社内ツールへのアクセス許可を段階的に取得。全社Slackチャンネルにメッセージを投稿したりした。

 Uberは対策として、アカウントが侵害された請負業者と従業員にパスワードを変更させ、内部サービスの多くのアクセスキーを変更し、実質的にアクセスをリセット。また、コードベースをロックダウンして新たなコード変更を防いだ。

 同社は、個人情報や財務データなど、機密性の高い顧客データは影響を受けていないと主張している。

 同社によると、攻撃者はセキュリティ研究者がバグや脆弱性を報告するHakerOneのダッシュボードにアクセスしたが、現在は攻撃者がアクセスしたバグレポートはすべて修復されたとも説明した。

 「この機会を利用して、今後の攻撃からUberをさらに保護するために、ポリシー、慣行、技術を引き続き強化していく」としている。