Redditを狙ったサイバー攻撃 防ぐためには何が必要だったのか

ソーシャルニュースサイト「Reddit」をサイバー攻撃が襲った。巧妙な攻撃だったが、ある手段を取れば防ぐことができたという。事前にどのような対策を採ればよかったのだろうか。

[David Jones，Cybersecurity Dive]

　高度なフィッシング攻撃に遭うと、従業員経由で機密情報が盗み出されてしまう。これを防ぐにはどうすればよいのだろうか。2023年2月に起こったRedditに対する攻撃から学べることとは。

Redditはどこで間違えたのか

　Redditは2023年2月5日に従業員から「フィッシング攻撃に遭った」という報告を受けて、サイバー攻撃に気付いた。その後の動きは素早かった。

　セキュリティチームはすぐに法執行機関に通報し、社内の調査を開始した。その結果、外部の攻撃者が従業員の認証情報を盗んだ後、一部の内部システムにアクセスすることが可能だったことが判明した。これは2023年2月9日に同社が発表した内容だ（注1）。

　今回の侵害ではシステムソースコードや会社の連絡先、現在や過去の従業員の連絡先情報、加えて広告主に関するある程度の情報にアクセスされた可能性はあるが、Redditによればその範囲は限定的だという。クレジットカード情報や会社の財務情報、パスワードなどリスクの高いデータにはアクセスされていない。「Reddit Ads」プラットフォームやその他の生産システムには影響がなく、今のところ盗み出された情報はオンラインに投稿されていない。

攻撃者はどうやって盗み出したのか

　Redditによると、攻撃者はイントラネットのゲートウェイの動作をまねたWebサイトを提示するもっともらしいプロンプトを送信し（注2）、同社の従業員をこのWebサイトに誘導した。Webサイトの目的は従業員の認証情報と二段階認証のトークンを盗むことだった。

　この攻撃は法執行機関が調査中の他の最近のフィッシング攻撃と類似しているようだとRedditは伝えている。

　Redditの関係者はアカウントの安全性を高めるために二段階認証を設定するようユーザーに注意を促し、パスワードマネジャーの使用も提案した。

攻撃を防ぐにはどうすればよかったのか

　リシ・バルガヴァ氏（DemistoとDescopeの共同設立者）はReddit関係者の透明性を称賛する一方で、この攻撃によって、企業が「FIDO2」やWeb認証API「WebAuthn」などのパスワードレス標準に切り替える動機がさらに高まったと述べた。

　「WebAuthn規格に基づくデバイスベースのパスワードレス認証に移行していれば、今回の攻撃を阻止できただろう」（バルガヴァ氏）

　WebAuthn標準は公開鍵暗号と呼ばれる、古いが効果的な技術を使用する。

　バルガヴァ氏はまた、今回の攻撃は2022年7月にCloudflareに対して実行された攻撃と類似しており、Twilioの攻撃と同じ時期に起こったこと指摘した。しかし、Cloudflareは、従業員がFIDO2準拠のセキュリティキーを持っていたため、攻撃者がシステムを侵害することを阻止できたという（注3）。

　Redditの関係者は、2018年に発生したサイバー攻撃の教訓の多くが通用すると述べた（注4）。2018年のインシデントでは、攻撃者がSMSによる二段階認証の弱点を突いて、パスワードに余分な文字を加えてハッシュ化したソルト化パスワードを含む2007年時点までのデータベースにアクセスした。

出典：Reddit says limited amount of source code, employee data accessed in phishing attack（Cybersecurity Dive）

注1：Sharing Our Findings Around a Data Security Incident

注2：We had a security incident. Here’s what we know.

注3：The mechanics of a sophisticated phishing scam and how we stopped it

注4：We had a security incident. Here's what you need to know.