危うい！法執行機関のふりをして、ハッカーはApple、Meta、Discordを攻撃してユーザーデータを要求することに成功

ハッカーはAppleやMetaのようなテクノロジーの巨人を騙すことに成功しました。ハッカーは、法執行機関の ふりをしてユーザーデータを要求することに成功しました。

この事件は2021年半ばにハッカーがユーザーのIPアドレス情報、電話番号、さらには自宅の住所について両社に尋ねようとしたときに発生したと伝えられています。Apple も Meta もそれに気づいていなかった。

実際、法執行機関の職員は、犯罪捜査に関連してソーシャルプラットフォームにデータを要求することが多く、特定のオンラインアカウントの所有者に関する情報を取得できます。

ただし、この要求は容易ではありません。申請者は召喚状または裁判官が署名した捜査令状が必要です。緊急データ要求は、生命を脅かす状況を伴うケースを対象としていません。

Kerbs on Securityレポートでは、偽の緊急データ要求がますます一般的になっています。攻撃中、ハッカーはまず警察署の電子メールシステムにアクセスする必要があります。

ハッカーは、法執行機関の職員の身元を仮定しながら、要求されたデータがすぐに送信されない場合、潜在的な危険を説明する緊急データ要求を改ざんすることができます。

Krebs氏によると、一部のハッカーは、特に偽の緊急データ要求でソーシャルメディアを標的にする目的で、政府の電子メールへのアクセスをオンラインで販売しています。

4月1日(金)にThe Vergeを立ち上げると、この偽りの要求を行った悪人はティーンエイジャーであると主張します。しかし、昨年の一連の攻撃は、再帰チームと呼ばれるサイバー犯罪グループのメンバーによって実行された可能性があります。グループは解散したが、そのうちのいくつかは異なる名前でLapsus$に加わった。

「私たちは、法的妥当性についてデータに対するすべての要求を確認し、洗練されたシステムとプロセスを使用して法執行機関の要求を検証し、悪用を検出します」とメタポリシーおよびコミュニケーションディレクターのAndy Stoneは声明で述べています。

「私たちは、リクエストを行うために侵害されたことが知られているアカウントをブロックし、今回のケースで行ったように、詐欺的なリクエストの疑いを含むインシデントに対応するために法執行機関と協力しています。

「政府または法執行機関が政府情報要求および緊急法執行機関に応答して顧客データを検索する場合、政府または政府緊急情報要求および執行機関を提出した法執行機関の番犬に連絡し、緊急要請が合法であることをAppleに確認するよう求められることがあります」とAppleは述べた。

偽の緊急データ要求の影響を受けることが知られているのは、MetaとAppleだけではありません。ハッカーはまた、SnapとDiscordに同様の偽のリクエストで連絡しました。 しかし、Snapがフォローアップしたかどうかは不明ですが、Discordもハッカーの要求に従った。