Nvidiaがハッキング被害、ハッカーがGPUのLHR制限解除を要求
はじめに
先週ごろに突然GITHUB上のLHR Unlockerという謎のツールが出現してそれがただのマルウェアだったことが報告されていますが,今度はNvidiaがサイバー攻撃を受けていたことが判明しました.第一報は数日前にNvidiaがサイバーアタックを受けて同社のメールシステムがダウンしていることから始まりました.
今日の報道状況を見ると,南米を拠点に活動するハッカー集団Lapsus$によって1TBの機密情報(GPUの開発データ)が盗まれたことが判明しました.
Nvidia側はハッカー側にRansomwareによるハッキング攻撃を仕掛けて盗まれた1TBのデータを暗号化することに成功したという未確定情報が流れました.その後これは誤報で実情はNvidiaが自社のVPNを通じて盗まれたデータにアクセスを行い暗号化ロックに成功したようです(ただしハッキングに使われたハッカーのプライベートマシンのみの可能性が高い).Lapsus$はNvidiaの仮想マシンのイメージファイルを盗み出して機密情報へアクセスしていたようですが,Vxundergroundのtweetによると仮想マシンをVPN経由でアクセスするためのMDM(Mobile Device Management)によって暗号化が実行されたようです.いずれにせよハッカー集団側はすでにバックアップした後にロックが行われたと主張しており情報漏洩を防ぐことはできなかったようです.
ハッカー側がLHR解除を要求
最新情報によるとLapsus$はNvidia側に該当製品(GA102- RTX3080とGA104 – RTX 3060, RTX 3060ti, RTX 3070)に含まれるLHR(Low Hash Rate)をバイパスするためのデータを公開すると脅しており,さらにNvidia側に自主的にLHRを解除するファームウェアとドライバをリリースするように要求しているようです.
ハッカーグループのTelegram上でのやりとり(Videocardzより参照)
Tomshardwareの記事を読む限りでは,Lapsus$が盗み出したのは,製品の回路図,ドライバとファームウェアのデータ,ドキュメント,プライベートツール,SDKと“Falconに関する全て”を含む機密情報のようです.特に,FalconはすべてのNvidia GPUに搭載されている特殊なマイクロコントローラで,ビデオデコードからメモリコピー,セキュリティまで、さまざまな役割を担っています.盗まれたデータ内容によっては,Falconの提供するセキュリティープロテクションを迂回できる可能性があります.
Lapsus$側はNvidia側からまだ連絡はないとし,その間一部の盗み出したデータを公開しています.私はデータを直接見たわけではありませんが,このデータにアクセスした情報筋の話であは,同ハッカーグループの主張を裏付ける内容だと言っているようです.
Nvidiaは“インシデントを調査中”とだけしか発表しておらず,盗みだされたデータの重大性から同社のビジネスにどのような影響を与えるかを正確に判断するのに長い時間を要しているのでしょう.つまり,その影響は無視できないものである可能性が高いようです.
追記:
原文と翻訳は以下のとおりです.
“On February 23, 2022, NVIDIA became aware of a cybersecurity incident which impacted IT resources. Shortly after discovering the incident, we further hardened our network, engaged cybersecurity incident response experts, and notified law enforcement.
We have no evidence of ransomware being deployed on the NVIDIA environment or that this is related to the Russia-Ukraine conflict. However, we are aware that the threat actor took employee credentials and some NVIDIA proprietary information from our systems and has begun leaking it online. Our team is working to analyze that information. We do not anticipate any disruption to our business or our ability to serve our customers as a result of the incident.
Security is a continuous process that we take very seriously at NVIDIA – and we invest in the protection and quality of our code and products daily.”
— NVIDIA statement on the incident
"2022年2月23日、NVIDIAはITリソースに影響を与えるサイバーセキュリティインシデントを認識しました。このインシデントを発見後すぐに、当社はネットワークをさらに強化し、サイバーセキュリティインシデント対応の専門家に依頼し、法執行機関に通知しました。
NVIDIAの環境にランサムウェアが展開されたという証拠はありませんし、これがロシアとウクライナの紛争に関連しているということもありません。しかし、私たちは、脅威者が私たちのシステムから従業員の認証情報と一部のNVIDIAの独自情報を持ち出し、それをオンラインで流出させ始めたことを承知しています。我々のチームは、その情報の分析に取り組んでいます。この事件の結果、当社のビジネスやお客様へのサービス提供に支障が生じることはないと考えています。
セキュリティは、NVIDIAが非常に真剣に取り組んでいる継続的なプロセスであり、私たちは日々、コードと製品の保護と品質に投資しています。"
- このインシデントに関するNVIDIAの声明
まとめ
ハッカー集団はNvidia関係者にフィッシング攻撃を仕掛けて同社のメールシステムに侵入,おそらくNvidiaのVPNにアクセスしファイルサーバーから機密情報を盗みだすことに成功したのでしょう.Nvidiaの開発者だとしたら2段階認証やハードウェアキーなども使っているはずだと思うので,どうやってそこを突破されたのか気になりますが,残念ながら1TBに及ぶGPU開発データが盗みだされたようです.Lapsus$側はNvidiaが使用しているセキュリティーチップのFalconの情報を盗みだしたと主張しており,これはNvidia側にとっては最悪の事態です.また今回のハッキング後の要求がGA102, GA104に搭載されているLHRの解除というのも興味深いです(自分たちでマイニングでもしているのでしょうか?).Nvidia側は声明でハッキングされた事実を認めており,これからどういった対応をするのか注目です.
コメント
コメントを投稿