FBIですらハッキングされる

FBIのメールサーバーがハッキングされ、FBIから偽警告スパムメールが配信された様です。

www.bleepingcomputer.com

連邦捜査局（FBI）の電子メールサーバーがハッキングされ、受信者のネットワークが侵害され、データが盗まれたというFBIの警告になりすましたスパム電子メールが配布されました。

電子メールは、VinnyTroiaとして識別される高度な脅威アクターからの「洗練されたチェーン攻撃」について警告するふりをしました。Troiaは、ダークウェブインテリジェンス企業のNightLionとShadowbyteのセキュリティ調査の責任者です。

スパム追跡非営利団体SpamHausは、これらのメッセージの何万もが今朝早く2つの波で配信されたことに気づきました。彼らはこれがキャンペーンのほんの一部であると信じています。

キタきつねの所感

米国を代表する捜査組織のFBIでも「隙」があった。

サイバー防衛に100％は無い世界ですので当たり前の事ではあるのですが、ひと昔前で言うとハッカーがHPに旗を立てて攻撃をアピール（乗っ取りをPRした）するに匹敵する、「真性アカウント」からのスパムメール配信成功の事実は、「防御」一辺倒の防御策の終焉を物語っている気がしてなりません。

FBIはBleeping Computerの取材に対して、乗っ取りが本当かどうかを直接的には明らかにしなかったものの、コメント内容、および”詳細情報に対するノーコメント”の対応から「攻撃成功」だった事を示しています。

FBIは、電子メールの内容が偽物であり、ヘルプデスクが心配している管理者からの電話で溢れているため、問題の解決に取り組んでいることを確認しました。

BleepingComputerへの声明の中で、FBIは、進行中の状況であるため、これ以上の情報を共有することはできないと述べました。

「FBIとCISAは今朝、@ ic.fbi.govメールアカウントからの偽のメールに関連する事件を認識しています。これは継続的な状況であり、現時点では追加情報を提供できません。引き続き奨励します。不明な送信者に注意し、疑わしい活動をwww.ic3.gov またはwww.cisa.govに報告するように一般に公開します。」-FBI。

（Bleeping Computer記事より引用）※機械翻訳

スパムメールの内容は以下の通りですが、特定の個人（Dark WebインテリジェンスShadowbyte創始者のVinny Troia氏）の名前が書かれている事から、ハッカーがTroia氏の評判を貶める為に出したメールだったと推測されています。

Our intelligence monitoring indicates exfiltration of several of your virtualized clusters in a sophisticated chain attack. We tried to blackhole the transit nodes used by this advanced persistent threat actor, however there is a huge chance he will modify his attack with fastflux technologies, which he proxies trough multiple global accelerators. We identified the threat actor to be Vinny Troia, whom is believed to be affiliated with the extortion gang TheDarkOverlord, We highly recommend you to check your systems and IDS monitoring. Beware this threat actor is currently working under inspection of the NCCIC, as we are dependent on some of his intelligence research we can not interfere physically within 4 hours, which could be enough time to cause severe damage to your infrastructure.

Stay safe,

U.S. Department of Homeland Security | Cyber Threat Detection and Analysis | Network Analysis Group

（以下機械翻訳）

当社のインテリジェンスモニタリングによると、高度なチェーン攻撃により、複数の仮想化クラスタが流出していることが判明しました。我々は、この高度な持続的脅威アクターが使用するトランジットノードをブラックホール化しようとしましたが、彼が複数のグローバルアクセラレータを経由してプロキシするfastflux技術を使って攻撃を修正する可能性が非常に高いと考えています。脅威の主体はVinny Troiaであり、彼は恐喝組織TheDarkOverlordと関係があると考えられています。この脅威の行為者は現在、NCCICの査察を受けており、我々は彼の情報調査に依存しているため、4時間以内に物理的な干渉をすることはできませんが、これはお客様のインフラに深刻なダメージを与えるのに十分な時間ですのでご注意ください。

安全を確保してください。

米国国土安全保障省｜サイバー脅威の検知と分析｜ネットワーク分析グループ

Raid Forums辺りに”犯行声明”が出てくると予想されますが、いずれにせよ日本企業が気を付けるべきなのは、FBIでも”電子メールサーバー”を乗っ取られるご時世である事かと思います。

守りを固めるだけでなく、乗っ取りをすぐに検知し、対応（復旧）する事へのセキュリティ対策のウェイトも高めていく事が重要であり、そのためには「攻撃される」事を前提に、防御を潜り抜けられた所から攻撃シナリオを開始する様な、インシデント対応策の見直しが（多くの企業に）求められるのかと思います。

想定外を想定内にする。

言葉で書くと単純なのですが、見直しを進め、徐々に想定内を増やしていく事によって、被害を最小限に抑えられる様になってくるのではないでしょうか。

※11/15追記 Krebs氏の記事にこの攻撃を仕掛けたpompompurin（ポムポムプリン）氏のコメント＝攻撃詳細が出ていました。

これを読むと、グレーハットハッカーの脆弱性をFBIに知らせる為の（少しヤンチャな）行為だった事が分かりますが、OTPの実装を間違えた点で、FBIも自身に対して定期的に捜査（脆弱性スキャン）する必要性があったのかと思います。

krebsonsecurity.com

KrebsOnSecurityとのインタビューで、Pompompurinは、FBIのシステムの明白な脆弱性を指摘するためにハッキングが行われたと述べました。

「これを1000％使用して、より合法的なメールを送信したり、企業をだましてデータを渡させたりすることができたはずです」とPompompurin氏は述べています。「そして、これは、連邦政府が彼らのウェブサイトに通知しているため、責任を持って開示する人には決して発見されなかったでしょう。」

（中略）

しかし、ポムポムプリンによれば、FBI自身のウェブサイトは、ウェブページのHTMLコードでそのワンタイムパスコードを漏らしました。

ポムポムプリンは、ブラウザに送信されたリクエストを編集し、メッセージの「件名」フィールドと「テキストコンテンツ」フィールドのテキストを変更することで、eims @ ic.fbi.govから自分自身にメールを送信できたと述べました。

（中略）

更新、11月14日午前11時31分ET： FBIは更新された声明を発表しました：

「FBIは、アクターが法執行エンタープライズポータル（LEEP）を利用して偽の電子メールを送信することを一時的に許可したソフトウェアの設定ミスを認識しています。LEEPは、州および地方の法執行パートナーとの通信に使用されるFBIITインフラストラクチャです。不正な電子メールはFBIが運営するサーバーから発信されましたが、そのサーバーはLEEPの通知のプッシュ専用であり、FBIの企業の電子メールサービスの一部ではありませんでした。FBIのネットワーク上のデータやPIIにアクセスしたり、侵害したりすることはできませんでした。インシデントを知ったら、ソフトウェアの脆弱性をすばやく修正し、偽の電子メールを無視するようにパートナーに警告し、ネットワークの整合性を確認しました。」