GOSによるベンチマーク不正問題で揺れるSamsungですが、またしても同社にとって都合の悪いニュースが飛び込んできました。
先日、半導体製造大手のNVIDIAから機密情報を含む1TB分のデータを奪った南米のハッキンググループ「Lapsus$」は、Samsungの機密情報も入手したと明らかにしました。
そして、機密情報を含むソースコードの一部がインターネット上に公開されています。
- 機密性の高い操作(ハードウェア暗号化、バイナリデータの暗号化、アクセス制御など)に使用されるSamsungのTrustZone環境にインストールされているすべてのTrusted Applet(TA)のソースコード
- 生体認証ロック解除システムのアルゴリズムとソースコード
- 最近のSamsung製スマートフォンのブートローダーのソースコード
- Qualcommがビルド作成のためにSamsungに提供したの機密ソースコード
- Samsungのアクティベーションサーバーのソースコード
- APIやサービスを含む、Samsungアカウントの承認と認証に使用されるすべてのソースコード
また、流出したソースコードには、Samsungが企業に提供しているSamsung Knoxのデータとその認証システムのソースコードが含まれています。
Samsung Knoxとは、業務用のアプリやデータ等を保護するセキュリティプラットフォームのことで、主にビジネス用Androidスマートフォン向けに提供されています。このソースコードが流出すればSamsungだけでなくSamsung Knoxを導入している多くの企業にも影響を与えることとなります。
Lapsus$は上記の機密情報を含むSamsungのソースコード等 約190GB分をファイル共有ソフトTorrent(トレント)にてアップロードしています。
ファイルにはSamsungの機密情報とみられるソースコードが多数含まれており、悪意のある第三者がソースコードを解析し、脆弱性を発見することで、それを悪用する可能性が懸念されています。
Lapsus$はNVIDIAの機密情報を入手した後、その一部の内部情報をインターネット上に公開。
その後、NVIDIAに対して、MacOS、Windows、Linux向けのすべてのグラフィックチップのドライバをオープンソース化することに加え、同社のRTX 30シリーズの一部グラフィックカード製品に搭載されている、マイニング性能を制限する「Lite Hash Rate(LHR)」の削除を要求しており、この要求に応じない場合は、更なる機密情報を公開すると脅しています。
一方で、現時点ではLapsus$からSamsungへの要求は確認されていません。
しかし、NVIDIAの例を見れば一部情報を公開した後、Samsung側へ何らかの要求を行うと見られています。
最近、Samsungは同社製スマートフォンでパフォーマンスの制限を行なっていることが判明し、ベンチマークアプリから除外された他、韓国では集団訴訟および大統領府への国民請願にまで発展しています。
先日発売が開始された、同社最新フラグシップ機の「Galaxy S22」シリーズが予想以上の売れ行きで幸先のよいスタートを切ったと思われたSamsungですが、パフォーマンス制限の問題に加えて、外部からのハッキングによる機密情報の流出が重なり、一転して窮地に立たされています。
未だハッキング被害に有無に関するSamsungの公式声明はありませんが、今後数日以内にアナウンスが行われることでしょう。
