Flashpointは、史上最大規模の世界的なIT障害に乗じて悪意ある行為を行おうとする脅威アクターたちによるフィッシングの急増を確認しています。本記事では、こうした活動について簡単に解説します。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年7月23日付)を翻訳したものです。
2024年7月19日、CrowdStrike(クラウドストライク)のソフトウェアアップデートが史上最大のIT障害を引き起こし、世界中の産業が影響を受けました。例えば、銀行サービス、病院、航空会社などの業務運用に深刻な支障が生じました。現在までの報道により、これがサイバー攻撃ではないことは確認されている一方で、Flashpointは、脅威アクターたちがこの状況を悪意ある行為に利用しようとするのを観測しています。
Flashpointのアナリストは新たに作成された不審なドメインを複数件特定しています。これらは、現在進行中の、また今後実施され得るフィッシングやソーシャルエンジニアリングキャンペーンで使われる可能性のあるドメインです。
- crowdstrikefix[.]com
- supportportal-crowdstrike-com[.]translate[.]goog
- crashstrike[.]com
- crowdstrikebluescreen[.]com
- crowdstrike-helpdesk[.]com
- crowdfalcon-immed-update[.]com
- crowdstrike-bsod[.]com
- crowdstrikebsod[.]com
- fix-crowdstrike-bsod[.]com
- fix-crowdstrike-apocalypse[.]com
- crowdstrikedown[.]site
- crowdstrike0day[.]com
- crowdstrikedoomsday[.]com
- crowdstriketoken[.]com
- crowdstrikeoutage[.]info
- crowdstrikecommuication[.]app
- crowdstrike-cloudtrail-storage-bb-126d5e[.]s3[.]us-west-1[.]amazonaws[.]com
障害の影響を受けた組織にとっては、CrowdStrikeからの公式のお知らせに従うことが極めて重要です。
フィッシングの試みに警戒を
脅威アクターたちはデータワイパーやリモートアクセスツールを携え、障害の影響を受けた組織を狙い始めています。セキュリティチームがWindowsホストを復旧させるための手助けになるものを欲している状況がある中で、研究者や英国の国家サイバーセキュリティセンターなどの政府機関はフィッシングメールの増加を観測しました。
組織は、スピアフィッシングやホエーリングに特に注意する必要があります。というのも、CrowdStrikeの代表者を装った悪意あるメールが攻撃者により送信されているからです。これらのメールには、障害への対処方法に関するもっともらしい指示が記載されていますが、実際にはアップデートに見せかけた悪意あるリンクが混入されています。
フィッシング攻撃からの防御
今回の障害の性質を踏まえると、最優先すべきは人材の教育と投資でしょう。サイバーセキュリティのベストプラクティスと最新の脅威戦術に関する従業員への情報共有を徹底すれば、フィッシング攻撃やその他の悪用行為の被害に遭うリスクを大幅に減らすことができます。チームに対するトレーニングと継続的な教育を優先的に行うことは、業務運用で生じた混乱に対処し、運用の回復力を維持するためのより良い体制作りに繋がります。
以下に挙げるのは、フィッシング攻撃から組織を守るために欠かせないポイントです:
- Webドメインの検証:Webドメインの真正性を常に確かめるようにしましょう。特に、ログイン認証情報やその他の機微な情報のクリック、ダウンロード、または入力を求められた場合にはより一層このチェックが重要になります。
- 個人情報の制限:企業のソーシャルメディアアカウントやセキュリティ担当者のアカウントでは、最小限の個人情報しか共有しないようにしましょう。パーソナライズしたフィッシングメールを作成するために、脅威アクターたちは使えるものならどんな情報でも使います。
- 偽メールやリンクに注意:今回の障害で影響を受けたCrowdStrikeの顧客はみな、正式な経路を通じて、同社の本物の担当者としか連絡を取らないようにする必要があります。
- 異常なリクエストの精査:通常とは異なる、あるいは一方的なリクエストが含まれているメッセージが送られてきた場合は、時間を惜しまずに費やし、そのメッセージを精査しましょう。どんなに賢明なユーザーでも騙される可能性があるため、用心が重要です。
ベストプラクティスの遵守を
短期的には混乱やフィッシングの試みが続くと思われるため、Flashpointは引き続き状況を注視します。当面の技術的な問題は解決されたものの、この事象がサイバーセキュリティに与える広範な影響は依然として残っている状況です。組織は、潜在的な悪用の試みを特定するために警戒を怠らないようにしなければなりません。ベストプラクティスを遵守し、常に最新状態のインシデント対応計画を保持することで、セキュリティチームは今後生じ得るフィッシング攻撃から組織を守りやすくなります。フィッシング対策のベストプラクティスの詳細については、Cybersecurity & Intelligence 101をご覧ください。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。