更新 4/16/24: Cisco の声明を以下に追加しました。
Cisco Duo のセキュリティチームは、ハッカーが電話プロバイダーへのサイバー攻撃で、一部の顧客の多要素認証(MFA)メッセージ用の VoIP および SMS ログを盗んだと警告している。
Cisco Duoは、企業が社内ネットワークや企業アプリケーションへの安全なアクセスを提供するために使用する多要素認証およびシングルサインオンサービスである。
Duoのホームページによると、10万社の顧客にサービスを提供し、毎月10億件以上の認証を処理しており、Google Playでのダウンロード数は1,000万件を超えている。
Cisco Duoは、顧客に送られた電子メールの中で、同社のSMSおよびVOIP多要素認証(MFA)メッセージを処理する無名のプロバイダが2024年4月1日に侵害されたと述べている。
この通知では、脅威者がフィッシング攻撃によって従業員の認証情報を入手し、その認証情報を使用して電話通信プロバイダーのシステムにアクセスしたと説明しています。
侵入者はその後、2024年3月1日から2024年3月31日の間に特定のDuoアカウントに関連するSMSおよびVoIP MFAメッセージログをダウンロードした。
「Duoが顧客にSMSおよびVOIP経由で多要素認証(MFA)メッセージを送信するために使用しているDuoテレフォニー・サプライヤーの1社(以下、「プロバイダー」)に関わるインシデントについてお知らせします。
「シスコはプロバイダーと積極的に協力し、インシデントの調査と対処に取り組んでいます。調査は進行中ですが、現在までに判明している情報に基づき、インシデントの概要を以下に示します。”
プロバイダーは、脅威行為者がメッセージの内容にアクセスしたり、そのアクセス権を使って顧客にメッセージを送信したりしなかったことを確認した。
しかし、盗まれたメッセージログには、企業認証情報などの機密情報にアクセスするための標的型フィッシング攻撃に使用される可能性のあるデータが含まれている。
これらのログに含まれるデータには、従業員の以下のものが含まれる:
- 電話番号
- キャリア
- 位置情報
- 日付
- 時間
- メッセージの種類
侵害を発見したサプライヤは、漏洩した認証情報を無効にし、アクティビティ・ログを分析し、Ciscoに通知しました。また、今後同様のインシデントが発生しないよう、追加のセキュリティ対策を実施しました。
このベンダーは Cisco Duo に公開されたすべてのメッセージログを提供しました。このログは、侵害の範囲、影響、および取るべき適切な防御戦略をよりよく理解するために、msp@duo.com に電子メールで請求することができます。
シスコはまた、この侵害の影響を受けた顧客に対し、盗まれた情報を利用したSMSフィッシングやソーシャルエンジニアリング攻撃の可能性に警戒するよう警告している。
「脅威者は、プロバイダに対するソーシャルエンジニアリング攻撃の成功を通じてメッセージログにアクセスしたため、メッセージログに電話番号が含まれていた影響を受けたユーザーを持つ顧客に連絡し、過度な遅延なくこの事象を通知し、警戒し、ソーシャルエンジニアリング攻撃の疑いがある場合は、関連するインシデント対応チームまたはその他の指定された連絡先に報告するよう助言してください。
「ソーシャル・エンジニアリング攻撃がもたらすリスクについてユーザーを教育し、疑わしい活動を調査することも検討してください。
FBIは昨年、脅威行為者がソーシャル・エンジニアリング攻撃でSMSフィッシングや音声通話を使用して企業ネットワークに侵入するケースが増えていると警告した。
2022年には、脅威行為者が従業員に対してMFA疲労攻撃を行った後、ITヘルプデスク担当者のふりをして電話番号経由でWhatsAppに連絡し、Uberが侵入された。これにより、最終的にターゲットはハッカーにアカウントへのログインを許可され、Uberのシステムにアクセスされた。
シスコは、このインシデントによって影響を受けたサプライヤー名と顧客数を明らかにしていない。
更新 4/16/24: Ciscoによると、このインシデントはDuoの顧客の約1%に影響を与えたという。同社は10万人のユーザーを持つと主張しているので、このインシデントは約1,000人に影響を与えたことになる。
「シスコは、北米に拠点を置く受信者にSMSおよびVOIP経由でDuoの多要素認証(MFA)メッセージを送信している単一のテレフォニー・サプライヤーに関連するインシデントを認識しています。
「シスコはこのサプライヤーと積極的に協力し、インシデントの調査と対処に取り組んでいます。現在までにサプライヤーから受け取った情報に基づき、Duoの顧客の約1%が影響を受けたと評価しています。 当社の調査は進行中であり、影響を受けた顧客には、当社の確立されたチャネルを通じて適宜通知しています。”
Comments