グーグル脅威インテリジェンスグループ(Google Threat Intelligence Group、GTIG)が、同社のデータベースの1つがハッキング攻撃を受け、その結果ユーザーデータが盗まれたことを正式に認めた。現時点で判明していることは以下のとおりだ。
グーグル本体にハッキング被害──ユーザーデータが侵害された
これは、ウェブブラウザグーグルChromeに緊急のセキュリティ更新が必要だという警告でも、グーグルアカウント保護のためにパスワードからパスキーへ切り替えるべきだという話でもない。表題のとおり、グーグルがハッキングされたという事実である。
情報源は? グーグル自身だ。
米国時間8月5日のGTIGの投稿は、グーグルのデータベースの1つが、ランサムウェア集団ShinyHunters(シャイニーハンターズ)に関係していると見られるハッカーにより影響を受けたことを認めた。この集団は正式にはUNC6040として知られている。
GTIGの投稿は「グーグルはこの活動に対応し、影響評価を実施して緩和策を開始した」と述べ、問題のデータベースは「中小企業の連絡先情報および関連メモを保存するために使用していたセールスフォースのインスタンスだった」と付け加えた。
Lab 1のCEO、ロビン・ブラッテルは「セールスフォースのインスタンスを狙うサイバー攻撃で組織が被害に遭う速度は、憂慮すべき域に達しています」と述べ、「率直に言えば、ハッカーは過去のデータ侵害などで既に公開された情報を使って組織を標的にしており、悪意ある攻撃はこれまでになく急速に拡大しています」と続けた。
グーグルによれば、攻撃を許す扉が開いていた短時間のあいだに、攻撃者によって「顧客データが取得された」。攻撃の詳細は現時点で多くは明かされていないが、盗まれたデータは「企業名や連絡先など、基本的なもので、大部分が公に入手可能なビジネス情報」だったことは確認されている。
筆者がグーグルにコメントを求めたところ、広報担当者は「現時点で共有できる詳細はすべて当社のブログ記事に記載しています」と述べた。記事にはShinyHuntersに関連する脅威グループUNC6040に関する追加情報も含まれており、「このアクターに関する実行可能なインテリジェンスをセキュリティコミュニティに提供します」と付け加えた。
またグーグルは、ShinyHuntersが一般に、侵害から72時間以内にビットコインでの身代金支払いを要求するメールや電話で被害者を恐喝する手口を用いると説明した。ただし、今回の事案でこの手口が用いられたかどうかは、肯定も否定もしていない。攻撃そのものが発生したのは6月であることは認めた。
サイバーセキュリティ専門家の見解
Closed Door SecurityのCEO、ウィリアム・ライトは「ShinyHuntersが実行した最近の一連の攻撃でグーグルがデータ侵害に遭ったというニュースは、いかなる組織もサイバー犯罪から免れないことを浮き彫りにしています」と述べ、「小規模事業者であれ世界有数のテクノロジー企業であれ、すべての組織は脆弱です」と付け加えた。さらにライトは、グーグルの更新は攻撃の経緯の概観を示しているものの、「影響を受けた組織に通知が行われたのか、また通知があったとしていつ通知されたのかは明らかにしていません」と指摘した。つまり、関与したサイバー犯罪者がShinyHuntersであろうとなかろうと、この情報を最大2カ月間、思うままに扱えた可能性があるということだ。
CyberSmartのCEO、ジェイミー・アクタルは「グーグルはサイバーセキュリティに関して長らく世界をリードする企業の1つです」と述べ、「世界で最も裕福で防御が堅い企業の1つに起こり得るなら、誰にでも起こり得ます」と結んだ。
