概要：内部情報漏洩と従業員の解雇

サイバーセキュリティ大手CrowdStrikeは、悪名高いハッキング集団「Scattered Lapsus$ Hunters」に機密の内部システム情報を共有した従業員を解雇したことを発表しました。この事件は、内部ダッシュボードや従業員が企業アプリケーションにアクセスするために使用するOktaのシングルサインオン（SSO）パネルのスクリーンショットが、ハッカーが運営する公開Telegramチャンネルに投稿されたことで発覚しました。

事件の詳細とCrowdStrikeの対応

ハッカー集団は、このスクリーンショットがSalesforceクライアントが使用する顧客成功プラットフォームであるGainsightにおける第三者侵害を通じて、より広範なシステム侵害が達成された証拠であると主張しました。しかし、CrowdStrikeは、今回の状況は技術的な侵害ではなく、人的な脆弱性によるものであると主張しています。

報告によると、脅威アクターは内部関係者にネットワークへのアクセスを促進させるために25,000ドルを提示したとされています。ハッカーは認証クッキーを受け取ったと主張しましたが、CrowdStrikeのセキュリティオペレーションセンター（SOC）は、悪意のあるアクセスが完全に確立される前に活動を検知しました。

CrowdStrikeは迅速に声明を発表し、漏洩した画像は従業員が自身のコンピューター画面の写真を外部に共有した結果であり、システム的なネットワーク侵入ではないと説明しました。CrowdStrikeの広報担当者は、「先月、社内調査の結果、コンピューター画面の写真を外部に共有したと判断された不審な内部関係者を特定し、解雇しました。当社のシステムが侵害されることはなく、顧客は常に保護されていました。この件は関連する法執行機関に引き渡しました」と述べています。

「Scattered Lapsus$ Hunters」の脅威

今回の事件は、「Scattered Lapsus$ Hunters」による大規模な攻撃キャンペーンの一環です。この集団は、Scattered Spider、LAPSUS$、ShinyHuntersのメンバーで構成される自称「スーパーグループ」であり、最近ではGainsightやSalesloftのような第三者ベンダーを悪用して主要企業を標的にしています。

2025年10月には、この集団がSalesforce顧客から約10億件の記録を窃取したと主張し、Allianz Life、Qantas、Stellantisなどの著名な企業をデータ漏洩サイトに掲載しました。この集団の主な手口は、高圧的なソーシャルエンジニアリングと内部関係者の勧誘を通じて、境界防御を迂回することであり、この戦術は2025年にますます一般的になっています。

インサイダー脅威の教訓

CrowdStrikeは、顧客への影響なくこの特定のインサイダー脅威を封じ込めることに成功しましたが、今回の事件は、ハイステークスなサイバーセキュリティ環境において、勧誘された従業員がもたらす持続的な危険性を浮き彫りにしています。高度なソーシャルエンジニアリングと、3つの主要なサイバー犯罪組織のリソースが統合されたことは、今日のテクノロジー企業が直面する脅威の状況が著しく進化していることを示しています。

この事件は、インサイダー脅威を監視し、機密情報が悪意のあるアクターに漏洩する前に疑わしい行動を特定するための堅牢な検知システムを導入することの重要性を強調しています。CrowdStrikeの迅速な検知と対応は、適切なセキュリティ運用がいかに深刻な侵害を防ぐことができるかを示しています。

元記事: https://gbhackers.com/crowdstrike-fires-employee-for-leaking-internal-system-info-to-hackers/