複数の米IT企業に二要素認証を突破する高度なサイバー攻撃!

8月 15th, 2022 Posted in 情報技術
No Comments

プロジェクトオーガナイザの吉田聖書よしだみふみです。

アメリカで通信プラットフォームを手掛けているTwilio社が「高度なソーシャルエンジニアリング攻撃」を受けたと現地時間の8月7日に公式ブログで発表しました。

Incident Report: Employee and Customer Account Compromise – August 4, 2022(2022/08/07 twilio BLOG)

また、アメリカでCDN(コンテンツデリバリーネットワーク)サービスを展開しているCloudflare社が、そのTwilioのブログを引用して「同じ頃に同じ様な攻撃を受けた」と現地時間の8月10日に公式ブログで発表しました。

The mechanics of a sophisticated phishing scam and how we stopped it(2022/08/10 The Cloudflare Blog)

手口としては、偽のログイン画面のURLをショートメッセージで送りつけるというものでした。「パスワードが期限切れになった」とか「スケジュールが更新された」と偽ってアクセスを促す文面が添えてありまして、Twilio社でもCloudflare社でも引っかかった、つまり偽のログイン画面に本物の資格情報を入力してしまった従業員がいました。そして、従業員の資格情報が盗まれたところまでは共通です。

ところが、Twilio社では、その盗まれた資格情報を使って顧客情報に不正アクセスされ、一方のCloudflare社では、盗まれた資格情報を使っても不正アクセスされなかったというんですね。これは興味深い話です。

Cloudflare社には「Cloudforce One」という脅威インテリジェンスの研究チームが組織されているそうで、そのチームが今回の「高度なソーシャルエンジニアリング攻撃」のメカニズムを分析しています。これ、私も驚いたのですが、2要素認証も突破してしまうかなりレベルの高い攻撃だったようです。ちなみに「脅威インテリジェンス」というのは、複数の脅威情報を収集・分析して、有益で誰でも利用できる形に整理された知識のことです。

(参考)

脅威インテリジェンスとは?活用が進んでいる企業の3つの取り組み(2018/06/27 NRIセキュア ブログ)

2要素認証にはよくワンタイムパスワードが使われます。ワンタイムというくらいですので、通常のパスワードよりも有効期限がごく短い時間に設定されています。そこで、偽のログイン画面に入力された通常のIDとパスワードに加え、ワンタイムパスワードが入力されたら即座に攻撃者に転送する仕掛けになっているようです。すると資格情報を盗んだ攻撃者はワンタイムパスワードの有効期限が切れる前に実際のシステムにログインして、狙った情報に不正にアクセスするということです。

これはなかなか衝撃的ですよね。私たちはIDとパスワードだけでは不充分だからということで、あちこちで2要素認証が導入されてきているんですが、それを無効化してしまうんですね。それから、まだ続きがありまして、仮に被害者が資格情報を入力しなかったとしても、その偽のログイン画面はリモート制御のソフトウェアを勝手に被害者のマシンにインストールして、攻撃者がマシンの制御を乗っ取ることができるようになっていたということです。

※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。

詳細な分析結果と具体的な対策方法(まさに脅威インテリジェンス)については冒頭にリンクしたブログ記事に掲載されていますので参考にされてください。ここでは、不正アクセスされなかったCloudflare社が普段行っている3つの取組みをご紹介して終わろうと思います。

まず1つ目。Cloudflare社ではシステムにアクセスするためにはハードウェアのセキュリティキーを要求しているということです。その物理的なキーは全ての従業員に発行しているのだそうです。なので、資格情報が盗まれても不正アクセスされないんですね。

2つ目は、Cloudflareのソリューションを使って、例えば攻撃されたということを検知したら、そのセッションを遮断するような機能を実現していることです。いざ攻撃されても従業員が意識することなく安全を維持できるのだそうです。

3つ目は、攻撃に引っかかってしまった人を非難しない文化を持っていることです。攻撃に引っかかった人というのは、普通に考えたら被害者ですよね。組織にダメージを与えはしますが、だからと言って被害者を叱責したら、誰も報告しない隠蔽体質になるでしょう。

物理的なセキュリティキーは、さすがに一般公開システムでの導入は現実的ではないと思いますが、サービスの種類によっては検討の価値はあると思います。それをサービスごとにそれぞれ導入するのは大変ですので、JPKIのような認証サービスを活用できたらハードルは下がるかもしれません。

関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。
, , , , ,
Previous Post« Next Post »

Comments are closed.