Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ロビンフットへのソーシャルエンジニアリング攻撃

不正アクセス事件 つぶやいてみた。 海外事件

中世イングランドではロビンフッドは伝説の弓の名手でしたが、現代のロビンフッドは意外に守りが弱かった様です。

www.bloomberg.co.jp

 米ロビンフッド・マーケッツは8日、何者かによるシステムへの侵入で同社顧客の約3分の1に相当する約700万人の個人情報が流出したと明らかにした。

  発表資料によると、侵入者は約500万人の電子メールアドレスのほか、別のグループ約200万人のフルネームを入手し、支払いを要求したという。一部の顧客は誕生日や郵便番号などの情報も流出したという。

  侵入が発生したのは今月3日。顧客の社会保障番号や銀行口座、デビットカードの番号は流出せず、金銭的損失を被った顧客はいないもようだとしている。

  ハッカーは入手した情報について脅迫してきたが、ランサムウエアによる攻撃ではなかったロビンフッドの広報担当は説明。同社が支払いを行ったかどうかについてはコメントを控えた。

 

公式発表

Robinhood Announces Data Security Incident (11/8)

 

キタきつねの所感

中世のロビンフッドも民衆の支持を集めた物語ですが、現在のロビンフッドは手数料無料で手軽に投資が行えるシリコンバレースマホ専業の証券会社で、ミレニアル世代を中心に人気を集めています。

参考:投資アプリ「Robinhood(ロビンフッド)」とは何か? 熱狂的な若者を生んだ仕組み |FinTech Journal

 

この会社が大きく注目を集めたのが、今年2月の「米ゲームストップ株」を巡るヘッジファンドとの”攻防”で、投資のプロであるヘッジファンド2兆円とも言われる損害を被った事で大きな話題となりました。

参考:ヘッジファンドの損失2兆円、SNSが株式市場で起こした「革命」:日経ビジネス電子版

 

Robinhoodのブログ記事(公式発表)を見ると、今回のインシデント発生は11月3日だった様です。まだ調査中という事もあるのかも知れませんが、影響範囲は他のインシデントに比べるとそれほど大きくはなく、メールアドレスが500万件、名前が200万件、少し機微な個人情報が310件、詳細個人情報が10件(漏えい)と公表されています。

11月3日の夜遅く、データセキュリティインシデントが発生しました。許可されていない第三者が、一部のお客様の限られた量の個人情報にアクセスしました。調査の結果、攻撃は封じ込められており、社会保障番号、銀行口座番号、デビットカード番号は公開されておらず、事件による顧客への金銭的損失はなかったと考えられます。(中略)

現時点では、許可されていない当事者が約500万人のメールアドレスのリストと、約200万人の別のグループのフルネームを取得したことを理解しています。また、より限られた数(合計で約310人)について、名前、生年月日、郵便番号などの追加の個人情報が公開され、約10人の顧客のサブセットがより詳細なアカウントの詳細を明らかにしたと考えています。

Robinhoodブログ記事より引用)※機械翻訳

 

今後、大手フォレンジック調査会社のMandiantの協力を得て詳細調査が進められていくと書かれていますので、その過程において影響範囲(漏えい情報)が拡大する可能性も考えられますが、フィッシング等の2次攻撃があったとしても、それほど大規模なものに発展する事はないのかと思われます。

 

さて、私がこのインシデント発表の中で一番気になったのは、その侵入方法が、ソーシャルエンジニアリングであった事です。

未承認者(悪意のある第三者)は、カスタマーサポートの従業員に電話でソーシャルエンジニアリングを行い、特定のカスタマーサポートシステムへのアクセスを取得しました

Robinhoodブログ記事より引用)※機械翻訳

 

日本では、ほとんど見かけない(公表されない)攻撃手法です。

 

SMSやメールでサポート(フィッシングサイトや偽コールセンター)に誘導するタイプの攻撃は多々あるかと思いますが、カスタマーセンターの人間を「騙し」、カスタマーサポートシステムへ不正アクセス(ラテラルムーブメント)を成功させたという事になります。

詳細手口のヒントとなる情報が書かれてませんが、例えば電話だけで「騙し」が成功したのだとすれば、閉域網を突破した可能性すら考えられます。恐らく公開されない情報だろうとは思いますが、この部分は非常に気になります。

 

(以下想像が過分に含まれます)

例えばマルウェアが添付されたクレームメールを事前にカスタマーサポートに送り付けておいて、電話でその添付ファイルを開く様に巧みに誘導した・・・といったシナリオを思いつきますが、金融系のサポートスタッフは当然の事ながら一定レベル以上のフィッシング教育を受けていると思うので、単純にカスタマーサポートのスタッフが騙されるとも思えません。

メールと電話の復号攻撃だった場合は、かなり良いシナリオが事前に練られていて、巧みに誘導したのだろうか・・・と妄想してしまいます。

 

ソーシャルエンジニアリングは、古くからある手法が(アレンジされて)使われる事が多いのですが、人の脆弱性にはなかなか「パッチを当てられない」という特性もあり、なくなる事は無いとも言われます。

セキュリティ対策がしっかりしている会社であっても、盲点の、潜在的な脆弱点がある場合もありますので、レッドチーム等を使ったリアルの侵入テスト、それが難しい場合はこの手のインシデントケースを元にして机上訓練を行う事で、新しい気づきに繋がるかと思います。

 

余談です。下記の本を長く愛読していますが、なかなかこの本に替わるソーシャルエンジニアリングの良書を見つけられていません。もしおススメの本をご存じの方がいらっしゃれば、ご教授頂ければ幸いです。

ソーシャル・エンジニアリング

ソーシャル・エンジニアリング

Amazon

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ロビン・フッドのイラスト

 

更新履歴

  • 2021年11月10日 AM