VPNのログイン認証情報の詐取は、周到な準備のもと行われる

非常に高度で巧妙な手口でVPNの認証情報を詐取する新たな攻撃が発生しています。攻撃者は、電話やソーシャルエンジニアリング、類似ドメイン、そして偽の企業VPNサイトを利用して、標的となる従業員が所属するネットワークへの初期アクセスを取得しています。

これは高度な初期アクセス攻撃の1つです。米国のソフトウェア企業であるGuidePoint Securityのセキュリティアナリストが、従業員を騙して攻撃者に認証情報を提供させる手口の詳細を公開しました。

その手口を簡単に以下に説明します。

1. 攻撃者がヘルプデスクになりすまし、標的となる従業員に電話をかける。
2. VPNログインの問題があると伝え、偽のVPNログインサイトに誘導する。
3. 従業員は偽のサイトに認証情報を入力し、攻撃者がそれを詐取する。
4. 攻撃者は詐取した認証情報を用いて、直ちに正規のVPNサイトにログインし、従業員に送信されたMFAコードを要求する。
5. アクセスが許可されると、攻撃者は従業員のネットワークをスキャンし、ラテラルムーブメントを行って他のシステムに不正アクセスするためのターゲットを特定する。さらに、再度アクセスできるようにバックドアを設置し、管理者権限などの高い権限を取得する方法を探る。

攻撃者は攻撃を成功させるために以下のような周到な準備を整えています。

• 標的となる従業員の会社名、氏名、携帯電話番号などの情報
• 本物のように見えるVPNサイトのドメイン名
• 従業員が所属する組織のロゴが入った偽のVPNサイト
• 被害者組織のVPNログインページにあるVPNグループ情報
• 標的となる従業員が攻撃を全く疑うことなく、組織のIT部門に報告しないほどの信憑性の高いソーシャルエンジニアリングのスクリプト

この攻撃手法は特定のVPNソフトウェアやサービスに関連付けており、従業員が騙されやすい状況を巧みに作り出すように設計されています。そのため、特定のVPN技術を利用している組織は、特に狙われやすくなっています。セキュリティ意識向上トレーニングを受講した従業員であれば、これらのソーシャルエンジニアリングのレッドフラグを簡単に識別できます。

この攻撃は、初期アクセスブローカーがネットワークを侵害するために高度な手段を講じていることを示しています。従業員は常に警戒心を持ち、組織のセキュリティ防御を強化する役割を果たさなければなりません。

KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。 

原典：Stu Sjouwerman著 2024年10月3日発信 https://blog.knowbe4.com/new-vpn-credential-attack