Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Twitter社へのソーシャルエンジニアリング攻撃

考えてみた。

Twitterの著名アカウントが7月にハッキングされた事件の詳細手口がようやく出てきました。意外に単純な「手口」だったと言えそうです。

www.reuters.com

Twitter洗練されていない攻撃に対して脆弱であったことは、自主規制が答えではないことを示しています」と金融サービス監督のリンダ・レースウェルは述べています。

Twitterはレビューに協力し、チームとプラットフォームのセキュリティを強化していると語った。同社は、ハッキングの前に一部の従業員がアカウントの資格情報を共有することに騙されたことを認めています。
(中略)
レースウェル氏によると、ハッカーは数人の従業員に電話をかけ、Twitterの情報技術部門で働いているふりをして、従業員が自宅で仕事をしているために一般的になっていた同社の仮想プライベートネットワークの問題に対応していると主張した後、ログイン資格情報を取得したという。

(ロイター記事より引用)※機械翻訳

 

キタきつねの所感

Twitter社は、他の多くの企業と同様に、自社のセキュリティ脆弱点(事件を発生した原因)を詳細には公開していません。今回のロイター記事のソースは、ニューヨーク州金融サービス局(規制当局)からの情報の様ですので、信頼性が高いかと思います。

 

金融サービス局はTwitter社への攻撃が「洗練されてなかった」と言っていますが、記事を読むと、古典的なソーシャルエンジニアリングの手口だった事が伺えます。

 

記事には書かれてない部分を想像で補うと(以下、根拠が無い推測が含まれています)、ハッカーTwitter社の従業員の電話番号を、どこからか入手します。

※全世界の中でも米国は個人情報漏えい事件が”頻発”しており、DarkWeb等で売られている個人情報等を利用する事が可能かと思います。こうした攻撃の際にSNS上(FacebookかLinkedin辺り)で個人情報や業務内容をある程度公開している人が攻撃対象になる可能性が高い気がします。

 

その上で、恐らく自宅勤務中の従業員の会社携帯に、内部(Twitterの情報技術部門)からの電話を装って「システムトラブル(VPNの問題))」を理由に「従業員個人の認証(ログイン資格)情報」を聞き出し、内部に侵入したと様です。

 

Twitter社の事件が報じられた際に、New York Timesが最終的なTwitterの内部アカウント管理ツールへたどり着けた部分について、Slackのプライベートチャネル(社内SNS)から内部に入られたと報じてました。今もこの記事内容は修正されてないかと思いますので、この電話でのソーシャルエンジニアリングはSlackの資格情報だった可能性を感じます。

www.nytimes.com

 

その理由としては、 Twitter社のVPN認証に問題があったとしても、気軽に一番機密性が求められるはずのTwitterアカウント管理ツールの認証情報まで電話で回答するか・・・と言われれば、流石にそれは従業員の脇が甘すぎだと思うからです。

 

「会社へのVPNソフトに不具合があり、貴方のログイン情報がロックされている様なのでアカウントロック解除の為に、認証情報を言って下さい・・・」といった事なら、Twitter社の従業員もつい応じてしまうかも知れませんが、電話で気軽に「貴方のTwitterアカウント管理ツールの認証情報を・・・」と引っかけるには、相当な話術が必要な気がします。

 

最初の攻撃がSlackへのログイン情報だったとして、内部に侵入した後にTwitterアカウント管理ツール(特権ソフト)の情報をどうやってハッカーが入手したかも大きな問題なのですが、The Vergeの記事では以下の様に説明されています。

 

最も驚異的な詳細の1つは、カークがログイン資格情報を取得したと言う方法です。内部のTwitter Slackチャネルに投稿されたメッセージからそれらをコピーすることにより、2人のハッカータイムズに伝えます。

(The Verge記事より引用)※機械翻訳

 

恐らく電話で資格情報を話してしまった従業員がTwitterアカウント管理ツールへのアクセス権を持っており、その認証情報(アクセス方法)が、自身のSlackアカウント内にメッセージ(本来機密であるはずの資格情報)を残していた、それを見た犯人が、その情報をコピーしてTwitterアカウント管理ツールを不正操作した、そんな形だったのかと思われます。

 

言い方を変えれば、非常に簡単にラテラルムーブメント(横移動)出来てしまったと言えます。

 

Twitter社に対して事件の内情を知る規制当局が「洗練されていない攻撃に対して脆弱」だったと言っているのは、この辺りに原因があるのではないでしょうか。

 

こうした攻撃に対する気づき(日本企業へのアドバイス)としては、まず1点目として、電話でのソーシャルエンジニアリングへの警戒です。

私の社用携帯にも、最近怪しげな海外からの電話着信履歴がたまに残っていますが、電話を使ってのフィッシングに対して、在宅勤務(テレワーク)中の従業員へ注意喚起、教育しておく事が重要かと思います。可能であれば、電話番号登録されてない番号、あるいは明らかに社内と分かる(FMC等)電話番号以外は、出ない、あるいは警戒して応対する、こうした事が対策になるかと思います。

 

2点目は、内部のテリトリー(Twitter社のケースではSlackのチャネル内)に重要な技術情報や認証情報を置いておかないという事です。

最初のログイン認証が何らかの形で突破された場合、メールの履歴や、社内SNS投稿の中にある重要情報をハッカーが盗み見られる(情報収集される)可能性があると考えると、特に重要な情報は、メッセージを消して、例えば社内サーバー側に(暗号化して)残しておくなど、すぐ見える所に(内部だと油断して)残しておかない方が良いのかと思います。

 

ISMSで言う情報資産台帳であれば、本来こうした内部Twitterアカウント管理ツールへの認証情報は、重要資産であると評価されると思います。その”管理”がなされてなかったのが今回のインシデントの要因の1つです。

なかなか個人の情報管理の部分には踏み込みにくい所ではありますが(外部からは好き放題言えますが)、こうしたケースは気づきとして、警戒していくべきかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 詐欺の電話のイラスト(男性)

 

更新履歴

  • 2020年10月15日 AM