標的型ソーシャルエンジニアリング攻撃事例:米コインベース社の実例から学ぶ



米コインベース社は、同社の2023年2月17日付けのブログで、一部の従業員データの盗難につながった標的型ソーシャルエンジニアリング攻撃に遭遇したことを公表しています。ここに来て、、日本においてサイバー攻撃が急増しています。このブログは、米コインベース社の事例から標的型のサイバー攻撃にいかに対応すべきかを学ぶために日本の企業や団体のために作成しました。

画像コインベースブログ攻撃者は米コインベース社を標的として、サイバー攻撃の糸口を作ることを着手しました。ここで使われたのが、スミッシングです。コインベース社の複数の従業員の携帯番号を入手して、従業員の携帯へSMSスミッシングメッセージを送りつける最初の罠を仕掛けてきました。ここで、リンクをクリックして業務用アカウントにログインするように促するものでした。一人の従業員がこの罠にまんまと引っ掛かり、リンクをクリック、業務用のアカウントにログインしてしまいました。第1段階の成功を収めた攻撃者は、この従業員のアカウントを使って、標的企業のコインベース社の内部システムへアクセスを試みました。この2段階目の攻撃は、コインベース社の同社のセキュリティソリューションによって防止されました。ここで、攻撃者はあきらめるでしょうか。組織的にプロ集団として活動している攻撃者はここであきらめないのです。

次に取る手こそが、ソーシャルエンジニアリング攻撃です。攻撃者は、最初の罠に引っかかって従業員の携帯番号をつかんでいます。また、この従業員のログイン情報を入手しています。これを使って、攻撃者はどう仕掛けてくるでしょうか。日本でこれまでも横行している電話で詐欺と同じ手法を使ってきます。ここで“たち”が悪いのが、攻撃者はある程度の情報を入手していることです。考えてみてください。氏名、携帯番号、勤務先が分かれば、SNSからかなりの個人情報は引き出せます。

2段階の攻撃に失敗した、その直後、間髪を入れずに、攻撃者は同社のIT部門に勤務していると称して、この従業員に電話をかけてきたのです。これこそが、攻撃者の決め手となるソーシャルエンジニアリング攻撃です。

コインベース社はブログの中で、この手口を次のように説明して、警告を全社で共有しています。「IT部門が違法アクセス遮断後、約20分して、従業員の携帯電話が鳴りました。攻撃者は同社のIT部門を装い、従業員の助けが必要だと連絡してきました。社員は、CoinbaseIT担当者と話していると思い、自分のワークステーションにログインして、攻撃者の指示に従い始めました。ここから、何かおかしいと疑心暗鬼になってきたこの従業員との間で会話を攻撃者は進めてきました。攻撃者はこの攻撃から一部の従業員情報を得ることに成功します。幸運にも、コインベース社のセキュリティチームは不審な行動を検知し、標的となった従業員に警告を発することができ、被害は最小限に抑えることができました。

同社は、「会話が進むにつれて、要求がますます怪しくなってきました」と述べています。幸いにも、資金は奪われず、顧客情報へのアクセスや閲覧もありませんでしたが、従業員の限られた連絡先、具体的には従業員の名前、電子メールアドレス、いくつかの電話番号が奪われました。

コインベース社は、同社のブログの中で、次のように今回の事例で学んだ教訓を総括しています。
「誰でもソーシャルエンジニアリング攻撃の犠牲になる可能性がある。人間は社会的な生き物であり、仲良くしたい・チームの一員でありたいと思うのものである。ソーシャルエンジニアリングには、自分は騙されないと思っているなら、それは大きな間違いある。適切な状況下では、ほとんど誰もが被害者になる可能性がある。最も阻止するのが難しいのは、今回のような直接接触型のソーシャルエンジニアリング攻撃である。これは、攻撃者がソーシャルメディアや携帯電話を通じてあなたに直接コンタクトを取り、さらに悪いことには、あなたの自宅や会社にまで出向いてくるというものなのである。このような攻撃は新しいものではない。実際、この種の攻撃は、人類が誕生した当初から確実に行われている。これは世界中の敵が好む戦術であり、うまくいくからある。」

この攻撃事例は、技術的防御と人的防御(セキュリティポリシー、従業員教育)を組み合わせた多重防御戦略の重要性を明確に示しています。KnowBe4が提唱するNew School」と呼ぶ新しいスタイルのセキュリティ意識向上トレーニング は、セキュリティのベストプラクティスに従うことを従業員に教え、ソーシャルエンジニアリング攻撃を阻止できるようにします。この機会に、是非とも自社の人的防御対策の現状を確認してほしい。

KnowBe4 Japanの営業活動全般を総括するガブリエル・タンが、2023年3月23日(木)に開催される日経クロステック主催の情報セキュリティ戦略セミナー2023で「日本のサイバーセキュリティ/人的防御対策の現状と今取るべきアクションプラン」と題してガブリエル・タンが講演します。ご参考になると思いますので、次のURLへアクセスして、お申し込みいただければ幸いです。

https://project.nikkeibp.co.jp/event/se230323

 

参考文献: Stu Sjouwerman 2023222日発信https://blog.knowbe4.com/coinbase-attack-used-social-engineering

Topics: KnowBe4セキュリティ意識向上トレーニングブログ

Get the latest about social engineering

Subscribe to CyberheistNews