Twitterの著名アカウントが7月にハッキングされた事件の詳細手口がようやく出てきました。意外に単純な「手口」だったと言えそうです。

www.reuters.com

「Twitterが洗練されていない攻撃に対して脆弱であったことは、自主規制が答えではないことを示しています」と金融サービス監督のリンダ・レースウェルは述べています。

Twitterはレビューに協力し、チームとプラットフォームのセキュリティを強化していると語った。同社は、ハッキングの前に一部の従業員がアカウントの資格情報を共有することに騙されたことを認めています。
（中略）
レースウェル氏によると、ハッカーは数人の従業員に電話をかけ、Twitterの情報技術部門で働いているふりをして、従業員が自宅で仕事をしているために一般的になっていた同社の仮想プライベートネットワークの問題に対応していると主張した後、ログイン資格情報を取得したという。

（ロイター記事より引用）※機械翻訳

キタきつねの所感

Twitter社は、他の多くの企業と同様に、自社のセキュリティ脆弱点（事件を発生した原因）を詳細には公開していません。今回のロイター記事のソースは、ニューヨーク州金融サービス局（規制当局）からの情報の様ですので、信頼性が高いかと思います。

金融サービス局はTwitter社への攻撃が「洗練されてなかった」と言っていますが、記事を読むと、古典的なソーシャルエンジニアリングの手口だった事が伺えます。

Kroll社の調査データでは2020年9月1日時点でランサムウェアが全攻撃の1/3以上を占めている様です。

www.infosecurity-magazine.com

2020年にクロールによって観察されたサイバー攻撃の3分の1以上は、3つの主要なランサムウェアギャングに起因する可能性があります。

「リュークとSodinokibi、クロールの場合はランサムウェア攻撃の長年にわたってほとんど観測されたフォームは、によって接合された迷路のすべてのサイバー攻撃の35％を構成する、これまでに2020年にトップ3 ransomwaresとして、」クロールの広報担当者は語りました。

ビジネスメールの侵害はランサムウェアとほぼ同じくらい蔓延しており、クロールが観察したサイバー攻撃の32％を占めています。

クロールが今年観察したランサムウェアギャングの新しい戦術は、被害者のデータの流出と公開でした。

（Inforsecurity Magazine記事より引用）※機械翻訳

キタきつねの所感

多くの方が「そうだろうな」と同意しそうな調査結果ですが、1/3以上というは少し驚きでした。

記事には調査データの概要しか書かれてないので、”フィッシングメール”の分類がどうなっているのかが少し気になりますが、フィッシングメールを手段として侵害原因を考えると、あり得ない数字ではない気がします。

記事ではもう１つ怖い事が書かれており、「ビジネスメールの侵害」、つまりO365等のビジネスアカウントが攻撃対象となっている事も書かれており、この攻撃が成功した後に発生するであろう、情報漏えいや、ビジネスメール詐欺（他社への攻撃）、迷惑メールの踏み台といった派生影響も懸念されます。

ランサム攻撃に戻って考えると、Krollは、攻撃側の戦略の変化、いわゆる「2重恐喝」についてもデータを出しています。

トレンドマイクロの国内法人に対する最新調査は、「緊急事態宣言前」であるにも関わらず、セキュリティ脅威が拡大している事を改めて教えてくれます。

www.47news.jp

　国内の大手企業や自治体などの約4割でサイバー攻撃などによるシステム上の被害が発生し、被害額が平均で1億4千万円に上ったことが10日までに、トレンドマイクロの調査で分かった。盗んだ情報を暗号化して身代金を要求する手口が増えており、同社は注意を呼び掛けている。

（中略）

　全体の約8割が、内部情報を盗み取ろうとする偽メールの受信や社員による不正サイトへのアクセスなど脅威を感じる事例があったと回答。

（共同通信記事より引用）

元ソース（トレンドマイクロ）

• 法人組織のセキュリティ動向調査 2020年版を発表

キタきつねの所感

冒頭にも書きましたが、この調査対象期間は2019年4月~2020年3月となっており、一部期間は新型コロナウィルスの影響を受けているものの、7都府県への緊急事態宣言（4/7）より前である事には留意が必要です。

とは言え、調査結果には国内法人が置かれている「危険な」状況が現れている気がします。とは言えインシデントの内容を見ると、”普通”です。大きな驚きはありません。

セキュリティインシデントの内容は「フィッシングメールの受信」が42.8％、「ビジネスメール詐欺のメール受信」が29.1％、「不正サイトへのアクセス」が26.5%、「標的型攻撃」が22.2％、「ランサムウェア感染」が17.7％と続きました。

（トレンドマイクロ発表より引用）

Emotetはビジネスでのメール文化にも影響を与えそうです。CISAのアラートに書かれているEmotet緩和策ではウィルス対策ソフトでスキャンできないZip添付ファイルをブロックする事が推奨されています。

www.security-next.com

公式発表（CISA: サイバーセキュリティインフラストラクチャセキュリティ庁)

• Alert (AA20-280A)　10/6

キタきつねの所感

コロナ禍を受けて、ビジネスにおけるメールの重要度というのは下がっているとは思いますが、ZIPファイルが使えなくなると言われると困る方も多いのではないでしょうか。主に私です。

Emotetは7月からキャンペーンが再開され、米国、カナダ、フランス、日本、ニュージーランド、イタリア、オランダ等での被害が急増しており、拡散が早いマルウェアであるが故に企業も対策に迫られています。

CISAのアラートでは、ZIPファイルの部分について以下の様に書かれています。

活動のタイムライン
（中略）
9月：
マイクロソフトのセキュリティ研究者は、Emotetキャンペーンの戦術の要点を特定しました。新しい戦術には、パスワードで保護されたアーカイブファイル（Zipファイルなど）を電子メールに添付して、電子メールセキュリティゲートウェイをバイパスすることが含まれます。これらの電子メールメッセージは、モバイルデバイスで作成されたドキュメントを配信することを目的としており、ターゲットユーザーを誘導して、マクロがドキュメントを「表示」できるようにします。これは、マルウェアの配信を実際に可能にするアクションです。

（CISAアラートより引用）※機械翻訳

このアラートの元となったのは、マイクロソフトの発表を受けたBleeping Computerの9/22記事です。

※CISAアラートで引用されています