Twitterは電話に弱かった。結論から言えばそういう事になりそうです。
jp.reuters.com
米ツイッター(TWTR.N)は30日、今月15日に起きたハッカーによるアカウント乗っ取りについて、少数の社員に狙いを定めて重要情報を盗み取る「スピアフィッシング」という手法で社内システムが侵入されたと明らかにした。
同社によると、ハッカー集団は約130のアカウントを標的にし、45のアカウントの乗っ取りに成功。また、36のアカウントでダイレクトメッセージ(DM)の受信ボックスに侵入し、7つのアカウントについて情報のダウンロードを行った。
(Reuters記事より引用)
公式発表
キタきつねの所感
新たにTwitterから発表された事件調査状況では、2つの事が新たに書かれています。1つが特定従業員アカウントに対するスピアフィッシング(標的型攻撃)があった事、そしてもう1つが、Twitterアカウントを侵害されて受信ボックスまで見られた可能性があるのが、8アカウントではなく7アカウントに訂正された事です。
また、公式発表(ブログ)では、興味深い記述があります。
この攻撃は、特定の従業員を誤解させ、人間の脆弱性を悪用して内部システムにアクセスするという、重要かつ協調的な試みに依存していました。これは、私たちのサービスを保護する上で、チームの各個人がいかに重要であるかを印象付けるものでした。私たちはその責任を真剣に受け止めており、Twitterの誰もがあなたの情報を安全に保つことに尽力しています。
(Twitterブログより引用)※機械翻訳
この記述から考えられるのは、「スピアフィッシング」とは書かれていますが、「ソーシャルエンジニアリング」攻撃に、内部ツール(Your Twitter Data)を使う権限を持つ従業員(特権ユーザー)が引っかかったという事です。
この「ソーシャルエンジニアリング」攻撃の部分について、Twitterの公式ブログとTwitter Supportアカウントでは以下の様に書いています。
2020年7月15日に発生したソーシャルエンジニアリングは、電話のスピアフィッシング攻撃によって少数の従業員を標的にしました。攻撃が成功した場合、攻撃者は内部ネットワークと、内部サポートツールへのアクセスを許可した特定の従業員の資格情報の両方にアクセスする必要がありました。最初に標的にされたすべての従業員がアカウント管理ツールを使用する権限を持っているわけではありませんが、攻撃者は資格情報を使用して内部システムにアクセスし、プロセスに関する情報を入手しました。この知識により、アカウントサポートツールにアクセスできた他の従業員をターゲットにすることができました。これらのツールへのアクセス権を持つ従業員の資格情報を使用して、攻撃者は130のTwitterアカウントを標的にし、最終的に45からツイートし、DMの受信トレイに36にアクセスし、Twitterデータを7にダウンロードしました。
(Twitter公式ブログより引用)※機械翻訳
この内容から分かるのは、普通と言えば普通なのですが、ハッカー側が段階的に攻撃しているという事であり、一部想像を含みますが、以下の形で攻撃がなされたものと推測されます。
①電話でTwitterの少数の従業員から内部ネットワークへの認証情報を入手(初期侵入)
②内部システムに不正侵入し、情報収集(偵察活動)
③内部ツール(Your Twitter Data)の管理者を特定(標的確認)
④内部ツール管理者の権限を何らかの方法で窃取(標的型攻撃又は買収)
⑤7/15に一斉にアカウントを乗っ取り(10万ドルのビットコイン詐欺)
侵害されたアカウントの影響が大きかったのもあると思いますが、他社での侵害事件に比べ、Twitter社は積極的に情報を公開していますが、肝心な部分については開示していません。
①の電話を使ったソーシャルエンジニアリングについて、著名なセキュリティ専門家のグラハム・クルーリー氏はブログで以下の様に推測しています。
※Twitter社はこの部分を開示していません
grahamcluley.com
狙われたTwitterの従業員または請負業者は、Twitterのサポートチームから送信されたと思われるメッセージを電話で受け取り、電話をかけるように依頼しました。
労働者が電話番号に電話をかけたとき、彼らは説得力のある(ただし偽の)ヘルプデスクオペレーターに連れて行かれた可能性があります。
Twitterの従業員または請負業者は、機密情報へのアクセスを許可された正当なサポート担当者と話をしていると考え、電子メールや従来のフィッシングWebサイトを介するよりも、電話でより多くの詳細を明らかにする可能性があります。
同様に、詐欺師が従業員に電話をかけて、おそらくVOIP電話サービスを使用し、発信者IDのなりすましを使用して、正当な番号から呼び出し音を鳴らすことによって会話を開始することもできます。次に、疑いを持たない従業員を、資格情報を盗むように設計されたフィッシングページに誘導することができます。
(グラハム・クルーリーBlogより引用)※機械翻訳
「音声」でのフィッシングについて、偽のSMS又は技術サポートを偽る電話であった可能性は十分に考えられそうです。
では、この「内部ネットワーク」が何であったか?ですが、New York Timesの記事では、Slackであったと報じています。
オコナー氏は、カークがTwitterの内部Slackメッセージングチャネルへのアクセス方法を見つけ、そこに投稿されたのを見て、カークが同社のサーバーへのアクセスを可能にするサービスと一緒にTwitterの資格情報にアクセスできることを他のハッカーが彼に知らせたと述べました。事件を調査した人々は、それは彼らがこれまでに学んだことと一致していると言いました。Twitterの広報担当者は、活発な調査を理由にコメントを控えた。
(New York Times記事より引用)※機械翻訳
Twitter社はSlack利用について認めてもいませんが、否定もしていませんので、恐らく最初の侵害は、SlackのTwitter従業員用のチャネルであって、Twitter社の従業員が使うSlackアカウント情報が、電話で窃取されたと考えても良いのかと思います。
このSlackの内部チャネル内に、Twitterの内部ツール(Your Twitter Data)へのアクセス方法(接続方法)といった技術情報があり、更にこのツールを利用している従業員アカウント(特権ID)が、Slack内部のチャットで判明し、この特定の従業員に対して標的型攻撃(又は買収)を行った結果が、事件に結び付いたものと推測されます。
この推測が正しい場合、事件の教訓として言えそうなのが、Twitter社は外部のチャットツール経由(ある種のサプライチェーン)の攻撃も想像しておくべきだったという事でしょうか。
内部ネットワークに入ると技術情報が裸で置いてあって、そこから次の攻撃のヒントが得られた。これは何もSlackチャネルだけに限らず、オンプレミスのサーバーを抱える企業における侵害事件でも「よくある事」です。
こうした攻撃のチェーンを切り、ラテラルムーブメント(横移動)を防ぐには、内部は守られているからと裸(平文)で重要情報を置かない事と共に、認証情報が窃取される事を想定した防御手段、例えば内部アクセスに対しても多要素認証を要求するといった設計が必要なのだと思います。
余談です。1日遅れでTwitter社の事件に関与したとして、少年3人が起訴されました。この少年らの関与については、 ブライアン・クレブス氏が詳細記事を書いています。内容は割愛しますが、そちらをお読みいただくと良いかと思います(でも英語なので・・・)。日本語の概略情報は以下のロイター社の記事をご覧ください。
jp.reuters.com
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
