メディア
連載
» 2023年10月04日 07時00分 公開

4社が被害に遭った「多要素認証リセット詐欺」 そのやり口とは?

多要素認証技術を導入するとよりセキュアな環境を構築できる。しかし、多要素認証にも抜け穴があった。

[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 パスワードだけの単一要素認証よりも、多要素認証を用いる方が強度の高いセキュリティを実現できる。だが、多要素認証でも安全ではない場合がある。

攻撃者は権限を持ったユーザーを攻略

 多要素認証やアイデンティティー管理ソリューションを提供するOktaによると、2023年の夏、Oktaの顧客がソーシャルエンジニアリング攻撃に遭った。攻撃者は、高度な権限を持つユーザーの多要素認証を全てリセットするよう仕向けた。どういうことだろうか。

 2023年8月31日に米国証券取引委員会(SEC)に提出した書類の中で(注1)、Oktaは「この攻撃は斬新な手法によって横方向へ移動し、防御を回避した」と述べた。

 Oktaのデビッド・ブラッドバリー氏(CSO《最高戦略責任者》)は、次のように述べた。

 「これらの活動を追跡し始めた2023年7月29日から3週間以内に、4つの顧客が影響を受けた」

電話を使って被害者を操作

 この攻撃キャンペーンは、米国に拠点を置く複数の企業を標的にした。企業のITサービスデスクのスタッフに電話をかけ、Oktaのソリューションの管理者アカウントを侵害しようとした。これは一貫したパターンだった。Oktaによると、組織内の高度な特権ユーザーになりすます目的だったという。

 「標的にした組織のITサービスデスクに電話をかける前に、攻撃者は正規の認証情報を持っていたか、『Active Directory』を介して認証フローを操作したようだ」とOktaはSECへの提出書類の中で記した。

 攻撃によってデータの盗難や恐喝、暗号化などの具体的な被害がどのようなものだったのか、Oktaは詳細を公開していない。

 「攻撃が続く中、顧客と手を取り合って協力し、当社のブログを通じて予防策と対処法を顧客に直接共有できた。当社と顧客の関係がこれまで以上に強固になったと感じている」(ブラッドバリー氏)

 今回の攻撃でシステムは侵害されなかった。Oktaがこのような状況に陥ったのは初めてのことではない。Oktaは2022年にフィッシング攻撃や情報漏えいに見舞われ(注2、注3)、GitHubのソースコードを盗まれた(注4)。

アナログなプロセスを含むソーシャルエンジニアリング攻撃とは

 テクノロジーに関する調査サービスを提供するABI Researchのミケラ・メンティング氏(シニアリサーチディレクター)は、次のように述べた。

 「これは間違いなく、IAM(アイデンティティーとアクセス管理)とSSO(シングルサインオン)を提供する企業の顧客が、真剣に考慮すべき一つのリスクだ。このようなサプライチェーン攻撃は、業種や地域を超えて多くの異なる企業に対して一貫して展開できるため、攻撃者が非常に有利になる」

 パスワード管理サービスを提供するKeeper Securityのゼイン・ボンド氏(製品責任者)によると、アイデンティティー管理ツールが企業を保護できるかどうかは組織がこれらのサービスをどのように利用し、管理しているかに依存する。

 「組織が十分なセキュリティ体制を維持しており、フィッシングメールや脆弱(ぜいじゃく)な認証情報の侵害といった単純な手法でシステムに侵入できない場合、攻撃者は高度なソーシャルエンジニアリング攻撃を使用する」(ボンド氏)

 「クラウドやアイデンティティーのプロバイダーは、新しい攻撃手法に日々直面している。セキュリティチームとチームが使用するツールは改善され続けている。攻撃者はこれらの防御を破る新たな方法を探し出さなければならない。私たちは、攻撃者の変化する戦術を監視し続け、顧客を被害から保護するためにあらゆる手段を講じる」(ブラッドバリー氏)

 Oktaは顧客に対して、フィッシングに耐性のある認証を実装し、高度な特権アカウントの使用を制限し、これらの機能の異常な動作を調査するよう促した。

 「高度に標的を選んだ上での呼び出しを含むソーシャルエンジニアリング攻撃は、重要な攻撃手段だ。狙った相手のITシステムに侵入する際に、複雑でコストのかかる手法を使う必要はない。相手のゲートキーパーに自ら扉を開けてもらえばよい。この種の詐欺は、人間が存在する限りなくならない」(メンティング氏)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。