セキュリティ研究者も騙される!ソーシャルエンジニアリングの方法が明らかに

four_twitter_profiles

攻撃者を阻止する人たち:つまりセキュリティ研究者を攻撃されても大丈夫だと思っていませんか?

しかし、一部の脅威グループは脆弱性の研究でキャリアを積んだ人たちをあえて狙っており、まんまと被害にあっていたことがわかりました。

ここではサイバーディフェンスの専門家をターゲットにした最近のソーシャルエンジニアリング攻撃行動の例を紹介します。

データ漏洩の多くは依然として既知の脆弱性を利用したものです。例えば、2019年の調査では情報漏えいの被害者の60%がパッチが適用されていない既知の脆弱性を誰かに悪用された後にセキュリティ事故に遭ったと回答しています。さらにその62%はデータ侵害の前に自分がリスクにさらされていることを知らなかったと答えています。

情報漏えい被害者の60%が、パッチが適用されていない既知の脆弱性が原因で情報漏えいに遭ったと回答
62%は、データ侵害が発生する前に自分の組織に脆弱性があることを知らなかった
52%は、組織が手動プロセスを使用しているため、脆弱性への対応に不利であると回答している

https://www.servicenow.com/lpayr/ponemon-vulnerability-survey.html

攻撃者はソフトウェアのバグを探したり、欠陥がある市sテムへのアクセス権を購入したりする従来の方法でオープンソースを悪用します。また研究者をターゲットにするなど、もう少しクリエイティブな方法もあります。

セキュリティ研究者へのソーシャルエンジニアリング

2021年1月末、Googleは政府の支援を受けた攻撃者が脆弱性の調査に従事するセキュリティ専門家を標的にしているのを捕捉しました。

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

セキュリティ研究者の信頼性を高め、セキュリティ研究者とつながりを持つために、攻撃者は研究ブログと複数のTwitterプロフィールを開設。

潜在的なターゲットとの交流を図っています。これらのTwitterのプロファイルは、ブログへのリンクや自分が実施したエクスプロイトの動画を投稿したり、自分が管理する他のアカウントの投稿を増幅したりリツイートしたりするために使用されています。

Google社によると、攻撃者たちが主張する「エクスプロイト」の精巧のうち、少なくとも1つは成功したことを偽装していたことがわかっています。

2021年1月14日、攻撃者は最近パッチが適用されたWindows Defenderの脆弱性であるCVE-2021-1647を悪用できたと証明するYouTubeの動画をTwitterで公開しました。この動画では、cmd.exeシェルを生成するエクスプロイトに成功したと称していますが、動画を注意深く確認すると、このエクスプロイトは偽物であることがわかります。

YouTubeに投稿された複数のコメントによると、この動画は捏造されたものであり、実際に動作するエクスプロイトは示されていませんでした。これらのコメントがなされた後、行為者は自分が管理している2つ目のTwitterアカウントを使って元の投稿をリツイートし、”偽の動画ではない “と主張していました。

攻撃者は、セキュリティ研究者と会話を始めた後ターゲットに研究プロジェクトを一緒にやらないかと持ちかけます。そして研究者にVirtual Studioのプロジェクトを提供。このプロジェクトには攻撃者のコマンド&コントロール(C&C)ドメインに接続するカスタムマルウェアが含まれていました。

国家的攻撃者は上記のソーシャルエンジニアリングの手法に加えて、研究者を対象に彼らのブログに掲載された記事につながるTwitterのリンクを提供。このリンクをクリックすると研究者のシステムに悪意のあるサービスがインストールされる仕組みになっています。また、攻撃者のコマンド&コントロール・サーバーにビーコンを送信するバックドアもインストールされていました。

Google社は攻撃者がこの後、侵害をどのように行ったのかを明らかにしていません。

この攻撃の被害に遭った人々は、最新のWindows 10コンピュータとChromeブラウザを使用していたとGoogleは述べています。そのため、ENKI社やMicrosoft社が報告しているように攻撃者がChromeのエクスプロイトやInternet Explorerのゼロデイの脆弱性を利用して研究者にマルウェアを感染させた可能性も否定できません。

これらの攻撃者は、Twitter、LinkedIn、Telegram、Discord、Keybase、電子メールなど複数のプラットフォームを利用して潜在的なターゲットとコミュニケーションを取っています。Googleは、既知のアカウントおよびエイリアスのリストを提供しています。

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

これらのアカウントとコミュニケーションをとったり、攻撃者のブログを閲覧した場合は、システムを確認することを推奨しています。現在のところ、この攻撃の一環としてWindowsシステムを標的とした行為が確認されているだけです。

Googleは、標的にされているのではないかと懸念される場合、一般的なウェブ閲覧、研究コミュニティでの他の人とのやり取り、第三者からのファイルの受け取り、独自のセキュリティ研究など物理的または仮想的なマシンを使用して研究活動を区分けすることを推奨しています。

これらの攻撃を振り返って

最近、研究者に対する注目を集めた攻撃は他にもいくつかありました。例えば、リモートアクセス型トロイの木馬「Minebridge」の運営者は情報セキュリティ業界の研究者を狙ってマルウェアをアップデートしていました。

この攻撃者は仕事を探している脅威情報アナリストの履歴書を装ったマクロベースのWord文書にマルウェアを埋め込んでいました。この文書が開かれるとMinebridgeはTeamViewerソフトウェアが埋め込まれ、攻撃者はこのソフトウェアを使ってさらにマルウェアを展開したり被害者に対してデジタルスパイ活動を行ったりしました。

これらのことからも、セキュリティのプロであるセキュリティ研究者も人間であるということがわかります。セキュリティ研究者も攻撃者が他の従業員に対して用いるのと同じ種類のソーシャルエンジニアリング戦術に巻き込まれる可能性があります。

同時にこの種の攻撃から従業員を守るためには、同じ種類のトレーニングが必要です。

ソーシャル・エンジニアリングの防止策

上記のようなソーシャル・エンジニアリング攻撃を防ぐためにはセキュリティ意識向上のためのトレーニングが必要です。

セキュリティ意識向上のためのトレーニングプログラムは、人を中心としたリスクに焦点を当てたものでなければなりません。フィッシング・メールのような基本的なソーシャル・エンジニアリングに焦点を当てるだけでは十分ではありません。

前述の攻撃では偽のソーシャルメディア・プロフィールやブログが使用されていました。また、トレーニングを年に1回実施するだけでは不十分であり、デジタル脅威はそれ以上の速さで進化します。また、メールだけではなく様々な分野のトレーニングが必要です。フィッシングの基礎から高度な攻撃手法までを十分にカバーし、それを継続的に実施する必要があります。

Leave a Reply

Your email address will not be published.