AppleとMetaが法執行機関になりすましたハッカーにユーザーデータを共有していたことが明らかに
AppleとFacebookの親会社であるMetaが、法執行機関になりすましたハッカーにユーザーデータを提供していたとBloombergが報じています。
Apple, Meta Gave User Data to Hackers With Forged Legal Requests (AAPL, FB) - Bloomberg
https://www.bloomberg.com/news/articles/2022-03-30/apple-meta-gave-user-data-to-hackers-who-forged-legal-requests
Apple and Meta shared data with hackers pretending to be law enforcement officials - The Verge
https://www.theverge.com/2022/3/30/23003600/apple-meta-shared-data-hackers-pretending-law-enforcement-officials
SNSのアカウント所有者や、特定の携帯電話で過去に利用されたインターネットのアドレスを知りたいという場合、アメリカでは裁判所による令状・召喚状が必要です。しかし、緊急時には令状・召喚状の発行を飛ばす「緊急データ要求(Emergency Data Requests:EDR)」を行うことが可能。このEDRを偽造したハッカーが、AppleおよびMetaから顧客の住所・電話番号・IPアドレスといったユーザーデータを取得していたことが、Bloombergの報道により明らかになりました。写真共有アプリ・Snapchatの開発元であるSnapも、同様の偽造されたEDRを受け取っていたことが明らかになっていますが、記事作成時点ではユーザーデータを提供していたかどうかは不明です。
サイバーセキュリティ研究者は、この偽造されたEDRを送信しているハッカーの一部がイギリスとアメリカの未成年者ではないかと疑っています。容疑者のひとりはMicrosoftやSamsungをハッキングしたサイバー犯罪グループ・LAPSUS
なお、イギリスのロンドン市警察がLAPSUS
MicrosoftやSamsungを攻撃したハッカー集団「LAPSUS - GIGAZINE
Bloombergの問い合わせに対して、Metaの広報担当者は「我々はすべてのデータ要求を法的に十分に検討し、高度なシステムとプロセスを使用して法執行機関の要求を検討し、不正使用を検出しようとしています。これと同様に、既知の侵害されたアカウントがリクエストを行うことをブロックし、法執行機関と連携し、不正なリクエストが疑われるものについて対応します」と回答。Appleは同社の法執行ガイドラインを提示し、Snapは法執行機関からの不正な要求を検出するための予防措置を講じていると回答しています。
調査に関与したという情報筋・3人によると、「Recursion Team」というサイバー犯罪グループに所属するハッカーが、2021年を通じて企業に送信された「偽造されたEDR」の背後にいると目されている模様。Recursion Teamは記事作成時点ではアクティブではありませんが、所属メンバーの多くはLAPSUS
調査に詳しい人物によると、偽造されたEDRを用いてハッカーが取得した情報は、特に金融詐欺計画を推進するために使用された可能性があるとのこと。別の関係者によると、偽造されたEDRを送信するキャンペーンはテクノロジー企業を対象に繰り広げられており、2021年1月にスタートしたとされています。偽造EDRには架空の法執行官の署名が含まれており、ある人物は「ハッカーが法執行機関のメールシステムを侵害することでEDRのテンプレートを入手した可能性がある」と指摘しています。
Appleは2020年7月から12月にかけて29カ国から1162件の緊急データ要求に準拠する要請を受けており、そのうち93%に対応しています。一方で、Metaは2021年1月から6月にかけて全世界で2万1700件の緊急データ要求に準拠する要請を受けており、そのうち77%に対応しています。
なお、ハッカーが偽造EDRを用いてユーザーデータを取得していることは、セキュリティ専門家のブライアン・クレブス氏が指摘したばかりでした。
ハッカーはIPSや通信会社の顧客データを盗むために偽の「緊急データ要求」を効果的に利用している - GIGAZINE