ハッカーがマディソン・スクエア・ガーデンに侵入した方法
ハッキンググループ「ShinyHunters」が、ソーシャルエンジニアリング(特に電話によるなりすまし)とMicrosoft Entraのパスワードリセット機能を利用し、マディソン・スクエア・ガーデンから大量データを窃取した事件の詳細が明らかになった。
キーポイント
電話型ソーシャルエンジニアリング(Vishing)の活用
ハッカーはメールフィッシングではなく、低レベルの従業員に直接電話をかけ、Microsoft Entra のセルフサービスパスワードリセットプロセスを悪用してシステムへの侵入に成功した。
具体的な侵害経路とデータ漏洩
特定の従業員のOneDriveが標的となり、W-2 書類や個人情報を含む 45GB のデータが窃取された。ハッカーは Microsoft のセキュリティブログ記事にある手法を応用したことを認めている。
新興のサイバー脅威としての若年層ハッカー
ネイティブ英語話者である若年層のハッキンググループが、高度な対人操作技術を用いて組織的なセキュリティを突破する新たな脅威として浮上している。
なりすましによる認証騙し
ハッカーはITサポートを名乗り、ユーザーに正当なパスワードリセットと偽って多要素認証(MFA)の承認を促し、Microsoft Entra の資格情報を取得しました。
標的型攻撃の動機
ハッカー集団はMSGが訪れる人の監視を行っていることを理由に狙いましたが、組織側は身代金を支払わなかったことが確認されています。
影響分析・編集コメントを表示
影響分析
この事件は、高度な技術的脆弱性よりも人間の心理を突くソーシャルエンジニアリングが最大のリスク要因となりうることを示唆しており、特に ID 管理システムの運用プロセスにおける人的要素の重要性を再認識させる。企業は多要素認証(MFA)の強化に加え、従業員への電話なりすまし攻撃に対する具体的な訓練とプロトコルの見直しを急務とする必要がある。
編集コメント
技術的な侵入経路よりも、人間の心理を突く手口が成功した点に警鐘を鳴らす重要な事例です。セキュリティ対策の「人」への投資が今一度問われるニュースです。
imageMadison Square Garden から大量のデータを窃取したハッカーたちは、同社の低レベルの従業員に電話をかけ、騙して MSG のシステムへの侵入を許可させた。これはハッカー側と 404 Media が窃取されたデータをレビューした結果によるものである。
このインシデントは、音声通話を利用したソーシャルエンジニアリング、いわゆる「フィッシング(vishing)」のリスクを浮き彫りにしている。ハッカーがメールを通じて誰かを騙したり偽のログインページを送りつけたりする「フィッシング」は数十年にわたり一般的だったが、「vishing」が普及したのはより最近のことである。特に、英語を母語とする若手ハッカーたちが深刻なサイバーセキュリティ脅威となっていることが背景にある。
このハッキングや他の事例について何かご存知ですか?ぜひお聞かせください。職場用の端末ではなく、非業務用のデバイスから、Signal で joseph.404 までメッセージを送るか、joseph@404media.co までメールをお送りください。
「Microsoft Entra における従業員への vishing」と、MSG 侵害事件の背後にあるハッキンググループ「ShinyHunters」のメンバーは、グループがどのように侵入したかを説明するよう求められた際、このように語った。Microsoft Entra は Microsoft のアイデンティティ管理製品であり、Okta に類似しており、従業員が必要なツールやサービスに職場でログインできるようにするものである。
⟦CODE_0⟧
先週、404 Media はハッカーが MSG から窃取したデータをアップロードしたと報じました。当時 404 Media が検証したサンプルには、キッズ関連の人物名を記載したファイルが含まれており、「住所」「著名な点」「タレントのコスト」といった項目がありました。場合によっては、特定の有名人に対するリスクスコアも含まれており、俳優・監督であり Knicks のファンでもあるベン・スティラーは「低リスク」、ラッパーの Boogie with da Hoodie は「高リスク」とマークされていました。
その後、404 Media は完全な 45GB のデータダンプをダウンロードし、特定の MSG 従業員の OneDrive(マイクロソフトが提供するクラウドストレージサービス)の内容を発見しました。そこには業務文書、写真、スクリーンショット、その他の添付ファイルが含まれていました。「Personal」と名付けられたフォルダーには、その従業員の W-2 税務書類(米国で給与所得者が提出する年次税務申告書)が含まれており、氏名や他の個人情報が記載されていました。これは、この特定の従業員から侵害が発生した可能性を示唆しています。404 Media は、同じ名前の LinkedIn プロフィールを検索し、その人物が MSG で勤務していることを確認しました。404 Media はプライバシー保護のため、従業員の身元は明かしていません。
その後、404 Media は ShinyHunters(ハッキンググループ)のメンバーに、どのように MSG に侵入したのかを尋ねました。そのメンバーはこの従業員の氏名を明らかにしました。
404 Media が ShinyHunters のメンバーに、同グループが MSG をどのように侵害したのかについて詳しく説明するよう求めた際、彼らは Microsoft が 5 月に発表したブログ投稿を指し示しました。それは「私たちに関するものだ」と述べていたものです。その投稿は、Microsoft が「体系的で洗練された多層攻撃」と呼ぶものについて記述していました。そこでは別の攻撃についても詳細が語られていますが(このブログ投稿は 5 月 18 日に公開され、ShinyHunters のメンバーは MSG のハッキングは 6 月 5 日に発生したと述べています)、両者には類似点があります。
Microsoft のブログ投稿によると、ハッカーたちはまず特定の個人を標的にして Microsoft Entra の認証情報を入手しました。ハッカーたちはセルフサービスパスワードリセット(SSPR)プロセスを開始し、その後、ユーザーが正当に見える多要素認証のプロンプトを完了するようだましたと Microsoft は述べています。「例えば、脅威アクターは内部の情報技術(IT)サポート担当者になりすましてユーザーに連絡し、アカウントの緊急確認が必要であると主張して、パスワードリセット手順の一環として MFA プロンプトの承認を行うよう指示する」とブログ投稿には記載されています。
侵入すると、ハッカーたちはデータが保存されている可能性のある他のアプリケーションやシステムへと転移できます。MSG のケースでは、流出したデータには Microsoft の共有およびコラボレーションプラットフォームである SharePoint インスタンスから取得されたデータが含まれています。
ShinyHunters のメンバーはブログ投稿を超える詳細については言及しませんでしたが、404 Media に対して「私たちは従業員に電話をかけ、SSPR プロセスを実行させた」と述べました。これは MSG のハッキング事件を具体的に指しています。
法律事務所モーガン・アンド・モーガンは、この違反に関連して集団訴訟を提起し、MSG の訪問者に対する監視が原因であると主張しています。ShinyHunters が MSG を狙った理由が同施設の監視慣行によるものかどうか尋ねられた際、そのメンバーは「はい、その理由で彼らが支払うだろうと考えましたが、驚くことに支払いませんでした」と述べています。
MSG はコメント依頼に対して回答していません。
404 Media は今週、データ流出には MSG の顔認識プログラムに反対した活動家に関する資料が含まれていると報じました。
原文を表示
imageThe hackers that stole a large cache of data from Madison Square Garden called a low level employee and tricked them into letting the hackers into MSG’s systems, according to the hackers and 404 Media’s review of the stolen data.
The breach highlights the risk of social engineering over voice calls, sometimes called ‘vishing’. Whereas phishing, where hackers social engineer someone over email or send them a fake login page, has been common for decades, vishing has only become prevalent more recently, especially as young and native English speaking hackers have become a serious cybersecurity threat.
Do you know anything else about this hack or others? I would love to hear from you. Using a non-work device, you can message me securely on Signal at joseph.404 or send me an email at joseph@404media.co.
“Employee vishing on their Microsoft Entra,” a member of the hacking group behind the MSG breach, called ShinyHunters, told 404 Media when asked to explain how the group got in. Microsoft Entra is Microsoft’s identity management product, similar to Okta, which lets employees log into whatever tools or services they need to at work.
Last week 404 Media reported hackers had uploaded data stolen from MSG. A sample 404 Media reviewed at the time included files mentioning Knicks-related personalities, with fields such as “address,” “claim to fame,” and “cost of talent.” In some cases the data included a risk score for certain celebrities, with actor, director and Knicks fan Ben Stiller described as “Low Risk” and rapper Boogie with da Hoodie marked “High Risk.”
Since then 404 Media downloaded the full 45GB data dump and found the contents of a specific MSG employee’s OneDrive. It included work documents, photos, screenshots, and other attachments. A folder called “Personal,” contained the employee’s W-2 form, which included their name and other personal information. This indicated that the breach may have originated from this specific employee. 404 Media found a LinkedIn profile under the same name showing this person worked at MSG. 404 Media is not naming the employee for their privacy.
404 Media then asked a member of ShinyHunters how the group breached MSG. The member provided this employee’s name.
When 404 Media asked the ShinyHunters member to elaborate on how the group compromised MSG, they pointed to a May blog post from Microsoft, which they said was “about us.” That post described what Microsoft called a “methodical, sophisticated, and multi-layered attack.” It details another attack—the blog post was published May 18 and the ShinyHunters member said the MSG hack happened on June 5—but there are similarities.
The Microsoft blog post says hackers first targeted specific people to get their Microsoft Entra credentials. The hackers started the Self-Service Password Reset (SSPR) process, and then tricked users into completing the multifactor authentication prompts that appear legitimate, Microsoft said. “For example, the threat actor might impersonate an internal information technology (IT) support representative and contact the user claiming that their account requires urgent verification, instructing them to approve MFA prompts as part of a routine password reset procedure,” the blog post reads.
Once in, the hackers can then pivot onto other apps or systems where data may be stored. In MSG’s case, the dump includes data taken from a SharePoint instance, Microsoft’s sharing and collaboration platform.
The ShinyHunters member didn’t elaborate beyond the blog post, but told 404 Media: “We called the employee and had them do the SSPR process,” referring specifically to the MSG hack.
Law firm Morgan and Morgan has filed a class action lawsuit related to the breach, arguing MSG’s surveillance of visitors led to it. When asked if ShinyHunters targeted MSG because of the venue’s surveillance practices, the member said, “Yes we thought they would pay for that reason but they surprisingly did not.”
MSG did not respond to a request for comment.
404 Media reported this week the data dump contained a dossier on activists who had opposed MSG’s facial recognition program.
関連記事
データセンター会議での発言が長すぎたとして警察に逮捕された男性のボディカメラ映像が公開される
オクラホマ州クレアモアの警察は、2月に開かれたデータセンターに関する地域会議で発言時間が長すぎた農夫ダレン・ブランチャードを不法侵入罪で逮捕した。ブランチャード氏は罰金刑に反発し、この逮捕の経緯を示すボディカメラ映像をメディアに初めて公開して対抗する方針を表明している。
宇宙の巨大構造が示す、私たちが思っていた宇宙とは異なる事実
科学者たちは、宇宙を繋ぐ構造物が以前予測されていたよりもはるかに大きく、数十億光年にわたって存在する新たな証拠を発見した。この発見は宇宙論の核心となる原則に挑戦し、宇宙の理解を覆す可能性を示唆している。
トランプ政権の新たな国勢調査データ規則は政策上の大惨事である
トランプ政権が専門家の意見を聞かずに国勢調査データの公開ルールを変更した。この変更により、再選定や自然災害対応などの信頼できる公的データが減少する恐れがある。
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み