ふと気になった記事。そう言えば昔マウスコンピュータのPCを使っていました。
www.security-next.com
同社によれば、5月8日17時過ぎに、従業員1人がフィッシングメールよりフィッシングサイトに誘導され、メールアカウントのIDとパスワードを詐取されたという。
その後同アカウントに対して詐取されたパスワードを用いた不正アクセスがあり、同月12日11時過ぎに法人顧客や取引先1220件に対し、同アカウントより同様のフィッシングメールが送信された。受信者から連絡があり、問題が判明した。
今回の問題を受けて同社は同アカウントのパスワードを変更。フィッシングメールの送信先となった関係者へ事情を説明し、問題のメールを削除したり、IDやパスワードを誤って入力しないよう求めた。
(Security Next記事より引用)
公式発表
キタきつねの所感
フィッシングメールに騙された従業員の方がいて、そのアカウントを踏み台にされて迷惑(フィッシング)メールがバラまかれた。スパムの踏み台事件であり、どこの会社でも起こり得そうな事件です。
しかし、記事を見て疑問に思ったのが、どうして外部の攻撃者(スパマー)は、当該アカウントを侵害できたのか?という点です。
公式発表を見てみると、偽サイト経由で漏えいしたのは、当該従業員のメールのIDとパスワードです。
■発生状況
発生:2020年5月8日17:05:54
弊社に対するフィッシングメールにより、弊社社員1名が偽のサイトへ誘導され、メールのID・パスワードを盗取されました。
以降、該当社員のID・パスワードを使用され、不正にアクセスされました。
(公式発表より引用)
これだけでなりすましのログインが成立しているという事は、記事にも公式発表にも書かれていませんが、マウスコンピュータは、O365等のクラウドのメールサービスを利用していた可能性が高いと思います。
※尚、フィッシング対策協議会の注意喚起ページを確認してみましたが、直近ではそうしたフィッシングキャンペーン情報は掲載されていませんでした。
この推測が正しいとすると、外部からのアクセスに対してIDとパスワードでログインできた、つまり多要素認証等の追加セキュリティを対策してない可能性が高かった気がします。
マウスコンピュータは従業員数が400人近くいるので、当然情シス担当は置いていたと思いますし、そもそも”PC”が専門の会社ですので、もう少しセキュリティ対策に注意を払っても良いのかと思います。
もう1点気になったのが、公式発表に書かれていた、この部分です。
■不正アクセスされたメールアカウント
弊社購買部部員 1名
■該当社員から送信されたフィッシングメール件数
1,220件
※現時点では、送信先は、法人のお客様・お取引先様であることが判明しております。
(公式発表より引用)
これは、たまたま攻撃者がスパムメール踏み台攻撃を仕掛けてきただけで良かったと見るべき事件な気がします。
侵害を受けたのが購買部門のアカウントですので、”ビジネスメール詐欺”(BEC)に発展していたとしても不思議ではありません。
そう考えると、事件を受けての対策が不十分に見えてきます。緊急事態宣言下において急な対応は難しいかも知れませんが、メールログインに対して多要素認証等の強化策は必須なのではないでしょうか。
■対応状況
①不正アクセスを受けた電子メールアカウントのパスワードを変更し、不正アクセスを遮断しました。
②上記送信された1,220件のフィッシングメール送信先のお客様・お取引先様に向けて、本件ご報告のうえ、同様のメールを受信しても即座に削除すること、またメールを開いたとしてもIDとパスワードを入力することがないようにご依頼申し上げました。
③公式Webページにて、本件のお詫びとお知らせ(状況報告)を開始しました。
(公式発表より引用)
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴