CrowdStrike(クラウドストライク)、内部情報をハッカー グループへ漏洩した社員を解雇

セキュリティニュース

投稿日時: 更新日時:

CrowdStrike(クラウドストライク)、内部情報をハッカー グループへ漏洩した社員を解雇

発端は、ハッカーグループ Scattered Lapsus$ Hunters(ShinyHunters/Scattered Spider/Lapsus$の連合)がテレグラム上に社内ダッシュボードや従業員用 Okta SSO 画面のスクリーンショットを掲載したことです。

クラウドストライクは自社システムの侵害や顧客データの流出は確認されていないと強調し、問題は従業員が画面写真を外部に共有した行為だと説明しています。事案は関係当局へ通報済みです。

脅威側の主張

脅威連合は当初、「Gainsight 侵害を足掛かりに CrowdStrike に到達した」と主張しましたが、同社は誤情報だとして否定しました。

ハッカーグループはさらに、約2万5,000ドルで内部協力者を勧誘し、SSO の認証クッキーを入手したとも述べています。これに対し同社は、検知時点で当該社員のアクセスを遮断しており、継続的な不正アクセスは成立していないと説明しています。

インシデントの性質

今回明らかになったのは人(インサイダー)を起点とする情報露出であり、ネットワーク侵害やデータ持ち出しの痕跡はないという結論です。

公開されたのは画面の静止画像に限られ、認証基盤や端末・クラウド資産への横展開を示す証拠は示されていません。社内調査で当該従業員の行為を特定し、解雇と同時にアクセス権を失効させています。

背景:Scattered Lapsus$ Hunters の攻勢

この連合は2025年、音声フィッシング(vishing)やインサイダー勧誘を軸にSalesforce 連携エコシステムを狙う攻撃を継続しています。10月にはSalesforce 利用企業の9億件規模のデータ窃取主張し、保険・航空・小売・高級ブランドなど著名企業名を列挙しました。

最近は、外部連携で得た OAuth トークンや SSO 情報の悪用や、新たな RaaS 基盤(ShinySp1d3r)*への移行をうかがわせる動きも見られます。

組織への示唆(実務要点)

  • インサイダーリスク管理を強化します:画面キャプチャの検知・制御、DLP、ブラウザ隔離などで画面・ログ・チケットの外部共有を抑止します。

  • ゼロトラストの徹底を図ります:IdP/SSO にMFA を強制し、デバイス姿勢・所在・時間帯に応じた条件付きアクセスを適用します。

  • 認証クッキー対策を実施します:短寿命化デバイスバインド、高リスク時の再認証を必須化します。

  • 検知と隔離の自動化を進めます:Okta などのリスクシグナル連携で自動失効・自動隔離を行い、アプリ横断の異常アクセスを行動分析で即遮断します。

  • 人への防御を強化します:買収・勧誘の通報窓口を周知し、vishing を含む攻撃シミュレーションを継続的に実施します。

 

一部参照

CrowdStrike catches insider feeding information to hackers