MGMリゾーツへのサイバー攻撃 – クラウドからカジノフロアまで

MGMリゾーツ・インターナショナルを標的とした最近のサイバー侵入は、機密データの保護に関する喫緊の課題と、今日の脅威の状況において現代の組織が直面する露呈した脆弱性を浮き彫りにしました。

ベラージオ、アリア、コスモポリタンなど、象徴的なラスベガス・ストリップ沿いの複数の有名ホテルとカジノを運営するMGMリゾーツは、激化するサイバー攻撃に対応して、大規模なネットワークシャットダウンを開始しました。これにより、ホテルおよびカジノ施設全体で重大な混乱が生じ、ゲストは、利用できないATMやスロットマシンから、機能しない客室のデジタルキーカードや電子決済システムに至るまで、さまざまな問題に直面しました。

犯人は、ソーシャルエンジニアリングに長けたサイバー犯罪者たちです。彼らは、サイバーセキュリティ業界で、そのユニークな特徴、つまり流暢な英語能力で知られるようになりました。これは、通常英語能力が不足している大半のサイバー犯罪グループとは一線を画しています。

興味深いことに、彼らの類似した戦術、技術、手順（TTP）のおかげで、Mandiantの研究者たちは、Scattered SpiderとLapsus$ハッキンググループとの間に相関関係を検出しました。これらは同様のチーム構成とアプローチを共有しています（図1参照）。¹

彼らの手口は、MGMのシニアユーザーのLinkedInプロフィールを利用し、内部ヘルプデスク経由で多要素認証（MFA）リクエストのリセットを容易にするという、巧妙に実行されたソーシャルエンジニアリングの手口によって初期アクセスへの道が開かれました。

この件に関する多数のセキュリティレポートによると、犯人たちはOktaテナントに「インバウンドフェデレーション」として知られる機能を使用して追加のIdentity Provider (IdP) を設定することで、MGMのネットワーク内に永続性を確立しました。これは通常、組織の合併や買収時の迅速な接続や統合に利用されますが、このケースでは、脅威アクターはこれを悪用して、被害者のネットワークに対する支配力を強化しました。

その時点から、攻撃者たちはMGMのOktaおよびMicrosoft Azureクラウド環境を掌握し、IDおよびアクセス管理（IAM）プラットフォームで管理されているアプリケーションだけでなく、クラウド資産も乗っ取りました。MGMのサイバーセキュリティ担当者がOktaサーバーの同期を停止した後も、ハッカーはネットワーク内に留まっており、彼らの声明で確認されています（図2参照）。² 彼らは、MGMのOkta環境におけるスーパー管理者権限と、MGMのMicrosoft Azureテナントにおけるグローバル管理者権限を保持していると主張しました。

最終的に、彼らは数百台のESXiサーバーを暗号化し、数千台のVMが多数のホスピタリティシステムをサポートしており、広範囲にわたる大混乱を引き起こしました。ESXiホストが順次暗号化されるにつれて、アプリケーションが次々とクラッシュしました。これにより、動作しないスロットマシン、機能しないホテルのルームキー、中断されたディナー予約、非稼働のPOSシステム、そしてゲストがチェックインまたはチェックアウトできないといった事態が発生しました。

なぜこれらのインシデントが発生するのでしょうか？

ランサムウェア攻撃は、従来、フィッシング、認証情報の窃取、脆弱性の悪用など、多様な手法を用いてきました。

ソーシャルエンジニアリング、あるいはこのケースではより具体的にビッシング（ボイスフィッシング）は、いくつかの理由により、近年より効果的になっています。

• 高度なスプーフィング技術: 攻撃者は電話番号を偽装することに長けており、正当な発信元からの電話であるかのように見せかけます。これにより、通常であれば無視するような電話にも応じてしまう可能性があります。
• ソーシャルエンジニアリング: ビッシング攻撃には、説得力のあるソーシャルエンジニアリングの手口がしばしば用いられます。攻撃者は、さまざまな情報源（このケースではMGMのシニアスタッフのLinkedInプロフィール）から個人情報を収集し、電話をより説得力のあるものにします。
• 実行の容易さ: ビッシング攻撃は、比較的低い技術スキルとリソースで実行できます。このアクセシビリティは、より広範な脅威アクターがこのような攻撃に従事できることを意味します。
• リモートワーク: リモートワークの増加により、コミュニケーションにおいて電話やビデオ通話への依存度が高まっています。攻撃者はこの機会を捉え、変化するコミュニケーション環境を悪用しています。

IAMプラットフォームを標的とすることは、脅威アクターが用いるよく知られた戦術であり、組織への永続的なアクセスを提供し、システム全体での権限を拡大させ、結果として被害を増大させます。この戦略は決して新しいものではありませんが、強力なアクセス基盤を求める攻撃者にとっては非常に価値のあるものです。

脅威アクターが発見され認識されると、MGMのOkta同期サーバーは停止され、BlackCat/ALPHVランサムウェアグループによって攻撃のランサムウェアフェーズが開始されました。Ransomware-as-a-Service (RaaS) は、犯罪サプライチェーン内で隆盛を極める産業です。正当な企業がSaaSアプリケーションに依存するのと同様に、BlackCat/ALPHVのような犯罪グループは、マルウェア開発、コマンド＆コントロールサービス、Torリークサイト、マルウェアサポート、さらには被害者との交渉サービスなど、元の攻撃者の能力を補完するプロフェッショナルサービスを提供しています。

米国最大のカジノチェーンであるシーザーズ・エンターテイメントが、深刻な侵害の後、約1500万ドルの身代金を支払ったのを見て、サイバー犯罪グループは目の前の機会を探る十分な動機を見つけるでしょう。

何ができるでしょうか？

攻撃者がソーシャルメディア（LinkedIn）の被害者データを巧みに利用してMGMのITヘルプデスクオペレーターを欺き、その非常に重要な初期アクセスベクトルを獲得したため、セキュリティトレーニングと警戒の明白な要素は決して軽視されるべきではありません。

ソーシャルエンジニアリングとビッシング、認証情報の収集、クラウドアカウントのハイジャック、そして最終的にはランサムウェアを組み合わせたこのような脅威に直面する場合、露出と攻撃対象領域を最小限に抑えることが最も重要です。このような高度な脅威をかわすのに役立つヒントをいくつかご紹介します。

1. 影響範囲を縮小する: オンプレミスかクラウドかを問わず、内部システム資産を分離します。脅威アクターが企業環境に侵入し、なりすましに成功した場合でも、ゼロトラストの原則を使用してリソースを分離・セグメント化していれば、彼らの動きを大幅に制限し、攻撃対象領域を最小限に抑えることができます。
2. 侵害されたユーザーと内部脅威を阻止する: インラインのアプリケーションおよびデータ検査に加え、広範な行動分析を活用して、外部からの脅威であろうと悪意のある内部関係者であろうと、潜在的な攻撃者を特定し阻止します。
3. 外部からの攻撃対象領域を最小限に抑える: ユーザーとアクセス要求をアプリケーションおよびサービスに直接リンクさせ、水平移動を制限します。MGMの攻撃では、Okta、Microsoft Azure、そして最終的にオンプレミスのESXiサーバー間を水平移動したことで、ハッキングが可能になりました。
4. データ損失の防止：すべての潜在的な脅威ベクトルと漏洩チャネルにインライン Data Loss Prevention を展開します。侵入者が不正アクセスした場合でも、データに対する彼らの行動が阻止されれば、侵害の影響を劇的に軽減できます。
5. 定期的な監査と評価を実施する: 定期的なサイバーセキュリティ監査は、コンプライアンスを評価し、知識のギャップを明らかにするだけでなく、サイバー犯罪者にとって非常に重要な初期アクセスベクターとなる弱点や脆弱性を浮き彫りにします。
6. 従業員を継続的に教育する: ビッシングは、攻撃者の武器庫における強力な武器として激化しています。多くの個人は、ビッシングが脅威ベクトルであることや、ビッシング攻撃に対する自身の脆弱性を認識しておらず、電話に応答する際に警戒を怠りがちです。この認識不足が、彼らを操作されやすくする可能性があります。

参照：

• https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware
• https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/
• https://techcrunch.com/2023/09/14/mgm-cyberattack-outage-scattered-spider/
• https://www.bleepingcomputer.com/news/security/caesars-entertainment-confirms-ransom-payment-customer-data-theft/