Googleは、ハッカーが同社の法執行機関リクエストシステム(LERS)プラットフォームに不正なアカウントを作成したことを確認しました。このプラットフォームは、法執行機関が公式なデータリクエストをGoogleに提出する際に使用されます。
「法執行機関リクエスト用のシステムで不正なアカウントが作成されたことを確認し、そのアカウントを無効化しました」とGoogleはBleepingComputerに語りました。
「この不正アカウントによるリクエストは行われておらず、データへのアクセスもありませんでした。」
FBIは、脅威アクターの主張についてコメントを控えました。
この声明は、「Scattered Lapsus$ Hunters」と名乗る脅威アクターのグループが、GoogleのLERSポータルとFBIのeCheckバックグラウンドチェックシステムの両方にアクセスしたとTelegramで主張した後に発表されました。
このグループは、木曜日に「潜伏する」と発表した直後、自らのアクセスを示すスクリーンショットを投稿しました。
ハッカーの主張は、LERSとFBIのeCheckシステムが世界中の警察や情報機関によって召喚状、裁判所命令、緊急開示リクエストの提出に利用されていることから、懸念を引き起こしました。
不正アクセスがあれば、攻撃者が法執行機関になりすまし、本来保護されるべき機密ユーザーデータにアクセスできる可能性があります。
「Scattered Lapsus$ Hunters」グループは、Shiny Hunters、Scattered Spider、Lapsus$恐喝グループに関連するメンバーで構成されていると主張しており、今年はSalesforceデータを標的とした大規模なデータ窃盗攻撃の背後にいます。
脅威アクターは当初、従業員を騙してSalesforceのData Loaderツールを企業のSalesforceインスタンスに接続させるソーシャルエンジニアリング詐欺を利用し、それを使ってデータを盗み、企業を恐喝していました。
その後、脅威アクターはSalesloftのGitHubリポジトリに侵入し、Trufflehogを使ってプライベートソースコード内に露出したシークレットをスキャンしました。これにより、Salesloft Driftの認証トークンを発見し、さらなるSalesforceデータ窃盗攻撃に利用しました。
これらの攻撃は、Google、Adidas、カンタス航空、アリアンツ生命、シスコ、ケリング、ルイ・ヴィトン、ディオール、ティファニー、Cloudflare、Zscaler、Elastic、Proofpoint、JFrog、Rubrik、Palo Alto Networks、その他多数を含む多くの企業に影響を与えています。
Google Threat Intelligence(Mandiant)は、これらの脅威アクターにとって厄介な存在であり、最初にSalesforceおよびSalesloft攻撃を公表し、企業に防御強化を呼びかけてきました。
それ以来、脅威アクターはFBI、Google、Mandiant、そしてセキュリティ研究者をTelegramの様々なチャンネルで挑発し続けています。
木曜深夜、このグループはBreachForums関連ドメインに長文のメッセージを投稿し、一部では脅威アクターが引退するのではないかと考えられました。
「これが、今後は沈黙こそが我々の強さになると決めた理由です」と脅威アクターは書いています。
「今後、まだ情報漏洩を公表していない数十社の数十億ドル規模の企業や、一部の政府機関(高度にセキュリティが確保されているものも含む)から新たな情報漏洩報告で我々の名前を見るかもしれませんが、それは我々がまだ活動していることを意味するものではありません。」
しかし、BleepingComputerに語ったサイバーセキュリティ研究者は、グループは「潜伏」を主張しつつも、今後も静かに攻撃を続けるだろうと考えています。
2025年9月15日更新:記事タイトルが侵害を示唆していると感じる声があったため、タイトルを修正しました。
