2023年9月のMGMハッキングは、近年で最も悪名高いランサムウェア攻撃の一つとなりました。ジャーナリストやサイバーセキュリティの専門家たちは、壊れたスロットマシン、憤慨したホテル宿泊客、そしてMGMのヘルプデスクへの運命的なフィッシング電話が全ての始まりとなった事件について、慌てて報道しました。

そして、まるで巧妙な魔法のトリックのように、世間の注目は誤った方向に向けられてしまった。数ヶ月が経った今も、MGMハッキング事件に関する重大な事実が見落とされている。

なぜなら、今回の侵害に関する最も重要な疑問の多くに対して、一般的な回答が不完全または不正確だからです。例えば、MGMをハッキングしたのは誰か、システム侵入にどのような戦術を用いたのか、セキュリティチームは同様の攻撃からどのように身を守ることができるのか、といった疑問です。

なぜそれが問題なのでしょうか？それは、MGMへのハッキングを、今後確実に増えるであろう新たな攻撃手法の一例として捉えるのではなく、単発の出来事として片付けてしまうからです。そして、企業やセキュリティチームは備えができない状態に陥ります。 

MGMをハッキングしたのは誰ですか?

多くのニュースでは、MGM への攻撃は Scattered Spider または ALPHV ハッキング グループのせいだと自信を持って主張しているが、真実はまだ不明であり、それぞれが独自の専門知識を持ち寄った異なるグループ間の危険な連携が関係している可能性が高い。

彼らの攻撃は、まず流暢な英語によるソーシャルエンジニアリングのスキルを使ってネットワークに侵入し、次に複数のシステムにわたって素早く永続性を確立する高度なランサムウェアを展開します。 

彼らはどのような戦術を使ったのでしょうか? 

「たった一本の電話がMGMをハッキングした」という説が主流です。MGMのITヘルプデスクへの電話フィッシング攻撃がハッキングの発端でしたが、実際にはそれだけではありません。真の問題は、このヘルプデスク担当者がMGMの脆弱なID認証プロトコルによってハッキングに失敗するように仕向けられ、悪意のある人物にスーパー管理者アカウントへのアクセスを許可した際に、おそらく何も「不正行為」をしていなかったということです。 

セキュリティチームはどのように自分自身を保護できるでしょうか? 

サイバーセキュリティの専門家は、ユーザーIDの確認に関するアドバイスを主に行ってきました。MGMのヘルプデスクには従業員の身元確認のためのより優れた方法が必要だったのは事実ですが、ハッカーの攻撃を阻止できたはずの別の要因がありました。 

そここそが、あなたが注意を集中すべき点です。実際、視野を少し広げるだけで、プロが見逃してきたセキュリティ上の課題に、すでに気づいていることに気づくでしょう。

あなたがこれを読んでいるデバイスです。 

MGM のハッキングを調査してわかったことの詳細 (ハッカー グループの名前の由来、MGM のセキュリティにおける懸念される欠陥、デバイスの信頼性がなぜこの事件の真の核心であるかなど) については、Kolide のブログをご覧ください。

今週の MacStories をスポンサーしていただいた Kolide に感謝します。