Person looking at a phone's GPS navigation

今月初めの Uber のセキュリティ侵害は、2016 年に Uber の外部の 2 人のハッカーがサードパーティのサーバーに保存されたユーザー データにアクセスしたときに会社が受けた攻撃から残った懸念の不幸な結果です.

今回は、18 歳の少年が Uber の内部ネットワークと Slack サーバーにアクセスし、システムがどのようにハッキングされたかについて従業員を罵倒しました。ハッカーは以前、Slack を 2 回使用して、Uber ドライバーの賃上げを要求するメッセージを送信していました。

このハッキングは、IT ワーカーが迂回することができず、基本的に Uber のドライバーが仕事を完了することができなくなりました。

Uber は、次の主張を行う声明を発表しました。

  • 顧客データは侵害されませんでした
  • すべてのサービスが完全に稼働しています
  • 法執行機関に通知されました
  • セキュリティのために無効化された内部ソフトウェアがオンラインに戻った

これは攻撃後の理想的な状況ですが、現代のソーシャル エンジニアリング攻撃の根本原因を理解することは、攻撃の防止に関してはさらに重要です。この投稿では、攻撃がどのように行われたか、および同様の攻撃の餌食にならないようにするにはどうすればよいかについて、もう少し詳しく説明します。

ハッキングの 3 つの部分: 資格情報の侵害、MFA 疲労、ソーシャル エンジニアリング

Uber は従業員のコミュニケーションに多要素認証 (MFA) プッシュ通知を使用していますが、ソーシャル エンジニアリングを利用してネットワークの資産にアクセスし、承認されたユーザーとして操作するために、ハッカーがこれらの認証保護を回避することを思いとどまらせることはできませんでした。

MFA は、盗まれた資格情報を使用した攻撃を防ぐことができますが、ハッカーが資格情報を持っていて、それを使用してより高度な攻撃を行った場合に起こりうる事態を防ぐことはできません。

Uber は後に、ネットワークを侵害した攻撃者が最初に外部請負業者の VPN 資格情報を取得したことを明らかにしました。

これらの盗まれた資格情報は、ユーザーが MFA 検証通知で攻撃されるMFA 疲労攻撃を試みるために使用されました。この特定のハッキングでは、攻撃者が技術サポートを装った WhatsApp でターゲットに連絡し、MFA プロンプトを受け入れるように伝えるまで、エンドユーザーは検証の試行を拒否しました。この追加されたソーシャル エンジニアリングの要素が、攻撃の試みを成功へと押し上げました。

結論

攻撃者は、盗んだ資格情報、MFA 疲労攻撃、およびソーシャル エンジニアリング (技術サポートを装った) を組み合わせてシステムに侵入することで、インシデント対応チームを時代遅れにしました。

重要な問題は、単一の中央認証ポイントがさまざまなクラウドベースの IAM サービスとアカウントへのアクセスをもたらし、史上最大のデータ漏洩の 1 つにつながる可能性があることです。

ソーシャル エンジニアリング サイバー攻撃の詳細

ソーシャル エンジニアリング攻撃は、ネットワークへのユーザー アクセスを取得するために必要なパスワード、スクリーン ネーム、およびその他の情報を取得するために、特定の会社で働く人々の信頼を悪用します。

ソーシャル エンジニアリング攻撃には、少なくとも 5 つの認識されている形式がありますが、次の手法で達成できるものであれば、どのような方法でも実行できます。

  • フィッシング: ソーシャル エンジニアリング攻撃の最も一般的な形式であるフィッシングでは、信頼できるように見える電子メールのドラフトを作成し、それを使用してユーザーから情報を取得します。たとえば、攻撃者は会社の友人、親戚、同僚、またはパートナーになりすます可能性があります。
  • 水飲み場攻撃: このタイプの攻撃では、ハッカーは従業員が時間を費やしている Web サイトを見つけます。彼または彼女は従業員との会話に参加し、情報へのアクセスにつながる可能性のあるアクセス情報または手がかりを収集しようとします。
  • ビジネスメール侵害 (BEC): フィッシング攻撃の一種で、BEC 攻撃は従業員の処罰への恐怖や上司を喜ばせたいという願望を悪用します。攻撃者は通常、上司の電子メールを偽装して情報を要求します。場合によっては、実際に電話でスーパーバイザーまたは経営幹部になりすますことによって、BEC 攻撃が実行される可能性があります。
  • 物理的なソーシャル エンジニアリング: PSE 攻撃は昔ながらの方法で行われます。アクセス情報を取得するために、引き出しをくぐったり、社用車に侵入したり、受付係の注意をそらしたりすることで実行できます。
  • USB 詐欺: このタイプの攻撃は、USB スティックの単純な盗難である場合もあれば、マルウェアが付着した USB スティックと交換する場合もあります。感染した USB は、従業員が接続してネットワークに感染することを期待して、机の上に置いておくこともできます。これらの攻撃はオフィス内で行われるため、不満を持った従業員によって実行される可能性が高くなります。

Uber の攻撃は、ソーシャル エンジニアリング、特にフィッシングを通じて認証メカニズムを悪用することに関して、ハッカーがいかに巧妙になったかを示しています。 MFA 手順が 2 要素だけでなく、真に多要素であることが重要です。セキュリティを本当に確保するために、生体認証を含むさまざまな種類の検証方法を要求することをお勧めします。

IT セキュリティの強化

ソーシャル エンジニアリングを取り巻く技術的な詳細に関係なく、この種の攻撃に対する最強の防御策は、警戒と自動防御の文化です。従業員は、あらゆる種類のソーシャル エンジニアリング攻撃を認識し、それらが来るのを確認できるようにする必要があります。潜在的な脅威を認識できるようにチームをトレーニングすることは、今後ますます蔓延するこれらのサイバーセキュリティ攻撃に対する最善の防御策です。

自動化された保護レイヤー

もちろん、これらのハッカーは高度な技術を持っているため、IT セキュリティ プロトコルに自動化された一時しのぎを追加して、ネットワークが侵害された場合にエンド ユーザーのエラーによってネットワークが危険にさらされるのを防ぐのがベスト プラクティスです。

パスワード ポリシー実施ツールを使用することで、組織は、システムを攻撃にさらす可能性のある脆弱性を封じ込める、より高品質のパスワードの開発をより自動化できます。 Specops Password Policyのような高度なパスワード ポリシー ツールには、侵害された資格情報の使用に対する防御機能も組み込まれています。これは、この Uber のシナリオで特に役立ちました。

もう 1 つの防止方法は、パスワードのリセットを許可する前にエンド ユーザーの ID の検証を自動化するSpecops Secure Service Deskである可能性があります。また、これはゼロトラスト システムであるため、ヘルプ デスクの従業員は、発信者が本人であることを「ただ信頼する」という選択肢に悩まされることはありません。すべては自動化次第です。

Specopsによる後援および執筆