10月8日:サイバーセキュリティ関連ニュース
中国ハッカーSalt TyphoonがAT&Tやベライゾンなど米大手ISPをハッキングしたとの報道
SecurityWeek – October 7, 2024
米国の大手インターネットサービスプロバイダー(ISP)数社のネットワークを中国関連APTグループSalt Typhoonがハッキングしていたと、ウォール・ストリート・ジャーナル紙が報道。この攻撃により、犯罪捜査などの目的で通信データをISPが当局へ提供する際に使われる「盗聴システム」が侵害された恐れがあるという。
Salt Typhoonは遅くとも2019年から活動しているとされるサイバースパイグループで、FamousSparrow、GhostEmperor、Earth Estriesといった呼称でも知られる。中国政府の支援を受けたAPTグループだと考えられており、これまでにブラジルやカナダ、イスラエル、サウジアラビア、台湾、英国などの国々のホテルや政府組織、法律事務所、国際企業などを標的にしてきた。また、東南アジアの電気通信事業者や政府機関を狙って高度かつステルス性の高い攻撃を実施していたことも報告されている。
WSJ紙がこの件に詳しい人物の話として報じた内容によれば、Salt TyphoonはベライゾンやAT&T、Lumen Technologiesといった米国の大手通信企業のネットワークに侵入したとされる。さらに、これらのISPが裁判所の承認を得た盗聴要請に応える際に使用する政府機関との連携用のシステムが、攻撃者による不正アクセスを受けた恐れがあるという。これらのシステムは犯罪捜査や国家安全保障に関わる事案の捜査に利用されるものであるため、この報道により国家安全保障のリスクに関する懸念が噴出している。WSJの情報筋によれば、影響を受けた可能性があるのは米国内の情報に関するシステムで、対外諜報活動に使われるシステムが侵害されたかどうかは不明だという。このほか、攻撃者はより一般的なインターネットトラフィックにもアクセスした可能性があると、WSJは報じている。
なお、被害企業の一社として報じられたLumen Technologiesの研究チームBlack Lotus Labsは、Volt TyphoonやFlax Typhoonなど、中国との繋がりが指摘される高度な脅威アクターを追跡してきた。したがって、同チームから今後Salt Typhoonの活動についてのレポートも公開されても不思議ではないと思われる。ただ、SecurityWeekが各社に問い合わせたところ、現時点でLumenおよびAT&Tはコメントの提供を拒否しており、ベライゾンからは返答が得られていないとのこと。
Mamba 2FAに注意を:2FAをバイパスできるフィッシングキット
Securityonline[.]info – October 7, 2024
多要素認証(MFA)を破るための新たなツール「Mamba 2FA」が、今年5月からTelegramで出回り始めている。Mamba 2FAは中間者攻撃(Adversary-in-The-Middle/AiTM)用フィッシングキットの一種で、Sekoiaの報告によれば、現在フィッシング・アズ・ア・サービス(PhaaS)市場で急速に人気を高めているのだという。
Mamba 2FAは、SMS認証やアプリ通知による認証など、MFAの中でもフィッシング耐性のない認証方式をバイパスするためのキット。具体的には、本物のMicrosoft 365のログインページにそっくりなフィッシングページをユーザーに提示し、そこに認証コードなどを入力させるなどの手口でMFA認証情報を窃取する。窃取された認証情報はTelegram経由で攻撃者の元へ直接送られるため、攻撃者はその後すぐに当該アカウントへ不正にログインできるようになる仕組み。
似たようなMFAバイパスキットとしては「Tycoon 2FA」などが知られるが、Mamba 2FAには、ターゲット次第でフィッシングページの仕様を動的に変更・調整できるという独自の性能を持つ。例えば、ターゲットが個人ユーザーか企業アカウントかでページの様相は変わり、企業アカウントに対しては、企業ロゴを表示させるなど当該企業ならではのカスタムデザインも反映したフィッシングページを提示できるのだという。これにより、ユーザーがフィッシングページを本物のログインページだと思い込む確率は高くなる。
Mamba 2FAは現在Telegram上で宣伝・販売されており、利用料は月額250ドル。購入者はフィッシングリンクやHTML添付ファイルをオンデマンドで作成できるほか、インフラはほかのユーザーと共有することになる。Sekoiaは同キットおよびそのインフラには5月以来、複数回の大幅な変更が加えられていると伝え、その急速な発展に警鐘を鳴らしている。一部の方式のMFAをバイパスできるこうしたツールが出回っている以上、組織には、できる限り生体認証やパスキーなど、フィッシングに抵抗できる認証方式を採用することが推奨される。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠