FBIが高まるリモートワーク・遠隔学習の拡大に対して警告を出しています。
www.bleepingcomputer.com
公式発表
キタきつねの所感
事例として、マサチューセッツ州の2つの学校での遠隔学習の事件が書かれていましたので参考まで。
・2020年3月下旬、マサチューセッツ州に拠点を置く高校は、教師がテレビ会議ソフトウェアZoomを使用してオンラインクラスを行っている間に、身元不明の個人が教室にダイヤルしたと報告しました。この個人は冒とく的な言葉を叫び、それから指導の途中で先生の自宅の住所を叫びました。
・マサチューセッツにある2番目の学校は、身元不明の個人がZoomミーティングにアクセスしていることを報告しました。この事件では、個人はビデオカメラで見ることができ、卍の入れ墨が表示されていました。
(公式発表3/30より引用)※機械翻訳
新型コロナウィルス(COVID-19)の影響で学校の授業がオンライン学習に、企業の働き方もテレワーク環境に急速に変わりつつあります。しかし、あまりに急にシフトせざるを得なかった為、事前に検証すべきセキュリティ要素が検討されないまま、いきなり本番運用をしている現状に対して、FBIが警告を発していると言えます。
こうした事例以外にもFBIは新型コロナウィルスの苦情を3月30日の時点で1200件以上受けている様です。
2020年3月30日の時点で、FBIのインターネット犯罪苦情センター(IC3)は、COVID-19詐欺に関連する1,200件を超える苦情を受け取り、審査しました。ここ数週間、サイバー攻撃者はファーストレスポンダーに対するフィッシングキャンペーンに従事し、政府機関に対してDDoS攻撃を仕掛け、ランサムウェアを医療施設に配備し、被害者のデバイスにマルウェアを静かにダウンロードする偽のCOVID-19 Webサイトを作成しました。
(公式発表4/1より引用)※機械翻訳
これらは混乱する人々や組織、政府機関に対する攻撃手法としては一般的なものではありますが、最近は、リモートワークや遠隔学習の利用が進むにつれて、攻撃をZoomに代表される、プラットフォームにもかけてきています。
攻撃の狙いとしては、機密情報の入手やTV(電話)会議の盗聴による情報窃取、その他の悪意のある活動拡大に向けたソフト脆弱性を突いた偵察・情報収集活動だと想像されますが、FBIの警告内容は、日本企業も(例えZoomを使ってないとしても、他の会議ツール等でも起こりえると意識して)注意が必要かと思います。
攻撃者の手口としては、以下のものが挙げられています。
信頼できないソースからのソフトウェア
- 悪意のあるサイバー攻撃者は、正当な外観のテレワークソフトウェア(無料または割引価格で提供される可能性があります)を使用して、機密データにアクセスしたり、会話を盗聴したりする可能性があります。
- サイバーアクターは、正当なテレワークソフトウェアベンダーからのように見えるフィッシングリンクや悪意のあるモバイルアプリケーションを使用することもあります。
(公式発表4/1より引用)※機械翻訳
キタきつねコメント
上が偽ソフトのダウンロード、下が例えばZoomダウンロードに見せかけたフィッシング攻撃を意味していると思われます。
コミュニケーションツール
- 悪意のあるサイバー攻撃者は、通信ツール(VOIP電話、ビデオ会議機器、クラウドベースの通信システム)を標的にして、サービスを過負荷にしてオフラインにしたり、電話会議を傍受したりする可能性があります。
- サイバーアクターはまた、ビデオ電話会議(VTC)ハイジャックを使用して、ポルノ画像、ヘイト画像、または脅迫的な言葉を挿入することで会議を妨害しています。
(公式発表4/1より引用)※機械翻訳
キタきつねコメント
上はサービス妨害攻撃ですので、DDoS攻撃等で通信妨害をする様なものだと思われます。とは言え、最近は急速な通信料拡大を受けて天然のDoS攻撃状態な気もしますが。下は、先日も記事を書きましたが、Zoom Bombing攻撃等を指しています。
「ZoomBombing」に要注意 - Fox on Security
リモートデスクトップアクセス
- 一部のテレワークソフトウェアでは、リモートデスクトップ共有が可能です。これは、コラボレーションやプレゼンテーションに役立ちます。ただし、悪意のあるサイバー攻撃者はこれまでリモートデスクトップアプリケーションを侵害しており、侵害されたシステムを使用して他の共有アプリケーションに移動することができます。
(公式発表4/1より引用)※機械翻訳
キタきつねコメント
TV会議ソフト(ZoomやTeams等)の資料共有からの情報漏えいを示しているだけでなく、ソフトの脆弱性を突いて、更に攻撃を拡大する事を意図して書かれている様です。(この事例は個人的には把握していません)
サプライチェーン
- 組織が在宅勤務を可能にするためにラップトップなどの機器を入手しようとするにつれて、一部の人々は外国の供給元からのラップトップのレンタルに頼っています。以前に使用され、不適切にサニタイズされた機器には、プレインストールされたマルウェアが含まれている可能性があります。
(公式発表4/1より引用)※機械翻訳
キタきつねコメント
この事例も把握していませんが、中古端末を使った場合に既にマルウェアが仕込まれている場合があるから留意しなければならないという意図で書かれている様です。
これらの潜在脅威に対して、FBIのアドバイスは、怪しげなツールを使わず、更にアクセス制限(誰でも入れる設定にはしない)、あるいはTV会議ソフトの会社を装ったフィッシングメールへの警戒等が挙げられています。
- 信頼できる評判の良いテレワークソフトウェアベンダーを選択します。外国調達のベンダーを選択する際には、追加のデューデリジェンスを実施します。
- 可能であればパスワードの使用を含め、リモート会議、電話会議、または仮想教室へのアクセスを制限します。
- 機密情報を明らかにすることを目的としたソーシャルエンジニアリングの戦術に注意してください。フィッシングの疑いのあるメールをブロックするツールを利用するか、ユーザーがそれらを報告して隔離できるようにします。
- テレワークソフトウェアベンダーからの広告やメールに注意してください。
- 常に正当なWebサイトのWebアドレスを確認するか、手動でブラウザに入力してください。
(公式発表4/1より引用)※機械翻訳
そして、FBIが挙げる「やってはいけない事」も多くの方にとって参考になるかも知れません。
- 開いているWebサイトまたは開いているソーシャルメディアプロファイルで、リモート会議、電話会議、または仮想教室へのリンクを共有します。
- 知らない送信者からのメール内の添付ファイルを開くか、リンクをクリックします。
- どうしても必要な場合を除き、リモートデスクトッププロトコル(RDP)や仮想ネットワークコンピューティング(VNC)などのリモートデスクトップアクセス機能を有効にします。
(公式発表4/1より引用)※機械翻訳
ユーザが急増しているが故に、攻撃者も常に更に新しい攻撃手法を探している事に留意して、この”気が滅入る”時期をお互い乗り切れたらと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
