海外のセキュリティ専門家が多数反応していた、2要素認証(SMS)に対する攻撃キャンペーンの記事を取り上げます。
thestack.com
Amnesty Internationalは、中東から北アフリカの人権活動家やジャーナリストを狙った複数の認証情報フィッシングキャンペーンを公開しています。
クレデンシャルフィッシングはWebサイトの模倣を展開します。ログインプロンプトにより被害者は自分の個人情報を入力するように誘導され、攻撃者に送信されます。
この場合、フィッシングページにログインすると、2要素認証を完了するためのアラートが生成されました。この要求に応じて、ユーザーはログインプロセスを完了するためにモバイル経由で応答しました。
1つのキャンペーンが、TutanotaやProtonMailなどの一般的な「安全な電子メール」サービスで何百ものアカウントのセキュリティを脅かしている可能性があります。別のキャンペーンでは、攻撃者は信頼できる一般的な形式の2FAを迂回して、潜在的に何百ものGoogleアカウントとYahooアカウントを侵害しました。
(The STACK記事より引用)※ブラウザの翻訳ツールで機械訳
◆キタきつねの所感
攻撃手法としては、いわゆる『中間者攻撃』と呼ばれるものであって手法的には目新しいものではありません。しかしイラン系ハッカーと見られる大規模な攻撃で使われていた様であるのと、ごく一般的に使われているGoogleやYahooのアカウントで侵害が多発している事を考えると、要注意な記事だと思います。
攻撃の詳細は記事には細かく書かれていませんが、これらの攻撃を成立させる為には、まず対象者の端末(PC/スマートフォン)をマルウェアに侵させる必要があります。つまり攻撃を受ける方の多くは、例えばフィッシングメールや、水飲み場での攻撃を受けて自分の端末が感染している事になります。アンチウィルス対策ソフトが入っていたとしても、特にスマートフォンでは、検知できないマルウェアもありますが、怪しげなアドレスから送られてきたファイルを開いてしまう、あるいは怪しげなリンクを踏んでしまう、、、そういった行為が前段階として発生していると思いますので、まず防御を考える上ではここを強化するべきかも知れません。
尚、前も何かの記事で書いたかも知れませんが、個人的には『HTML』形式のメールをテキスト形式に変えるだけで意外に怪しげな部分を気づけている(気がする)ので、こうした対策も検討の余地があるのかと思います。
その前提の上で、今回の記事ですが・・・マルウェアに侵された端末からほぼリアルタイムで情報がハッカーガワに吸いあがる攻撃の様です。
例えば私がGmailのアカウントにログインしようとした際には、まずハッカー側が偽ページに誘導(ページ転移)して、ログイン情報を窃取します。その際にSMS等でOTPが配信された情報もすぐにハッカー側が検知し、偽のOTP入力ページに誘導し、すぐに正規のID/PASSとOTPを入れてアカウントを乗っ取ってしまう手口の様です。
(一時期)オンラインバンキングの中間者攻撃で成功例が国内外で出ていた手法と、大きな差はありませんが、オンタイムでハッカー側が情報を吸い上げて対処する部分が進化している気がします。
japan.zdnet.com
この攻撃で成功率が高そうなのが、スマートフォンを侵害した場合だと思います。それはログインとOTP受信のSMSが同じ端末で行われる事になるので、スマートフォンを上手くマルウェア等で侵害できた場合に両方共に窃取が可能だからです。
しかし、今回の攻撃はPC側だけでも侵害できていれば、PC画面にOTP入力の偽画面を出す事でOTP窃取が可能となるので、2経路認証が正しく安全に行われていたとしても、攻撃が成立してしまう所が嫌らしい所かも知れません。
こうした攻撃に対しては、SMSを使ったOTPではなく、2要素認証でもUSBキーやICカード等を使った機器による認証を組み合わせる事かなと思います。生体認証付きのFIDO認証機器を使うのもかなり安全性は高まるかと思います。
fidoalliance.org
更新履歴
