今年の1月のGoogleのThreat Analysis Groupが発表したセキュリティ研究者を狙った攻撃キャンペーン(ソーシャルエンジニアリング)に関する記事が気になりました。
securityintelligence.com
あなたは、セキュリティ研究者が彼らへのこっそり攻撃を避けるのに十分な知識を持っていると思うでしょう-そしておそらく十分に妄想的でさえあります-。しかし、悪意のある攻撃者は、それでも彼らが知っていること、つまり感情に戻ります。この新しい脅威について簡単に調べてみましょう。
元ソース(Google Threat Analysis Group) 1/25
・New campaign targeting security researchers (セキュリティ研究者を対象とした新しいキャンペーン)
キタきつねの所感
普段”セキュリティの専門家”として人の前で話す機会が多い我が身を振り返り、油断していると、自分もソーシャルエンジニアリングに引っかかる可能性がある、この記事を見て改めて感じました。
改めて言うまでもありませんが、ソーシャルエンジニアリング手法は、「人の脆弱性」を突く攻撃です。最新の調査では、悪意のある攻撃者はセキュリティ研究者の「感情」に攻撃を仕掛け、それを見抜けなかった(騙されたままだった)セキュリティ研究者が多く存在した様です。
この事は、この攻撃手法が「騙されるはずがない」と自負しているセキュリティのプロにとって有効な攻撃手法である事を証明している気がします。
Googleの元記事から最初の「フック」が何であったのか?を考えていきます。
最初はTwitterからのアプローチだった様です。攻撃側のTwitterプロフィールは、それなりの投稿があり、それなりのフォロワーがいるもので、実際ブログのリンクが投稿され、エクスプロイトのビデオ、あるいは他のアカウント(恐らくこれも詐欺アカウント)の投稿をリツイートしていたと書かれています。
サンプルのプロファイルを見る限りですが、「比較的アカウントが新しい」(※2019年か2020年にTwitterを始めている)事は見分けるポイントとなっていますが、それっぽい投稿が多数されていたとすれば、上2アカウントはフォロワー数も多い事もあり、不自然さをあまり感じないかも知れません。
こうした「プロファイル詐欺」という点では、日本でも「前例」があります。
それが斎藤ウィリアム氏事件です。山本一郎氏が彼の”経歴は怪しい”と指摘した事に端を発した騒動では、100万人を超えるTwitterフォロワーにFakeユーザが多い事や、学歴(卒業)が確認できない点が問題となりました。
山本一郎氏が指摘するまで、内閣参与まで務めた斎藤ウィリアム氏の「Fake」を”セキュリティに携わるプロ達”が誰も見破れなかった、この事を考えると、他の分野も含めて、日本人は騙されやすいと言えるかも知れません。
foxsecurity.hatenablog.com
因みに、こうした偽装アカウント(プロファイル)を見破るには、フォロワーを少し追っていき、活動履歴が極端に少ないアカウントからのフォローが多い事などが出てくる気がしますが、時間もかかりますので、あまりお勧めの手法ではありません。
こうしたSNSでのフォロワーを監査するツールもいくつかありますので、こうしたものを使うのも良いかと思います。
www.twitteraudit.com
grin.co
余談が長くなりました。
Google調査での次のステップはTwitterをフックとして、ブログ記事を閲覧させて更に(対象であるセキュリティ研究者の)信用を勝ち取る事だった様です。
その上で、ブログへのゲスト投稿(共同執筆)に誘う・・・ここに研究者の善なる感情を揺さぶる「ソーシャルエンジニアリング手法」が隠されていて、研究者は自分が騙されていた事に気づかなかった様です。
・コミュニティに貢献する
・彼らは彼らが本物の何かに参加していると信じていました
・または、彼らはそれを自分自身を宣伝し、業界内でより信頼できるようになる手段と見なしました
(Security Intelligence記事より引用)※機械翻訳
Googleの調査記事では、この後、YouTubeビデオを閲覧させ、ここにエクスプロイトが隠されており、(マルウェア等に感染させて)研究者の機密データを窃取する手法が観察された様です。
また、攻撃キャンペーンの中では、(騙された)研究者に、脆弱性の研究を持ち掛け、VisualStudioプロジェクトを提供するという手法も観察されたとあります。このVisutalStudioを実行する際に、脆弱性を悪用するコードと、追加のDLL(C2サーバ通信)が埋め込まれるという攻撃だった様です。
Security Intelligenceの記事では、こうしたソーシャルエンジニアリングを回避する為の、いくつかのチェックポイントを挙げています。英語の翻訳が読みづらい部分がありますが、「甘い話には裏がある」「ネット越しの相手をすぐに信じてはいけない」といった観点が重要である事を示唆しています。
・これはどういうわけか私を補償する試みですか?もしそうなら、注意してください:それは真実であるには良すぎるかもしれません。したがって、行動を起こす前に、時間をかけて宿題をしてください。
・これは私が信じていることとうまく並んでいますか?もしそうなら、あなたは志を同じくする個人に出くわしたかもしれません、あるいはあなたはあなたをとてもよく学んだ誰かに出くわしたかもしれません、それはまさに彼らがあなたに考えて欲しいものです。礼儀正しく、感じてください。ただし、細心の注意を払って進めてください。信頼関係の構築には時間がかかります。
・これは、後ろで私を噛むために戻ってくる可能性が最も低いものですか?いくつかの悪いことがゆっくりと起こり、ほとんど見えなくなるまで…そしてそれらは一度に非常に悪くなります。手遅れになるまで自分が夢中になっていることに気付かない可能性があるため、これは最も危険な状況の1つです。あなたのデジタルフットプリントは重要です:それをきれいに保ってください。
・これは誠実ですか、それともエゴストロークですか?自我のストロークは誠実である可能性があり、これがこれを困難にします。あなたを危険にさらそうとする試みと同じように、これを感じて、細心の注意を払って進めてください。
(Security Intelligence記事より引用)※機械翻訳
Twitterだけでなく、攻撃キャンペーンではEメール、Linkedin、Telegram等を使っている事が観測されており、これに加えて日本でユーザが多いLINEやFacebookを使った将来の派生攻撃も懸念されます。
サイバーセキュリティの世界も「常在戦場」ですので、自分が標的となる可能性がある事を十分に理解し、「人間の脆弱性」へのパッチ当てを心掛けたいものです。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
