単一要素認証はもう使用すべきではない
単一要素認証は長年にわたりインターネット向けサービスの標準となってきましたが、セキュリティが明らかに欠如しています。攻撃者がこのようなサービスにアクセスするために必要な認証情報(例えばメールアドレス)を入手した場合、ログイン後に追加の保護がなければ、すべてのデータにアクセスできてしまいます。単一要素認証は、2021年8月にサイバーセキュリティ・インフラセキュリティ庁(CISA)のバッドプラクティスリストに追加されました。
セキュリティを強化する最も一般的な方法は、2 番目の認証層 (2 要素認証) を追加することです。これは通常、SMS 経由でスマートフォンで受信できるワンタイム パスワード、または Google Authenticator や Duo Security などの認証アプリケーションで受信できるワンタイム パスワードです。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
2FAは依然として回避可能
2FAはインターネットサービスのセキュリティを大幅に強化しますが、それでもいくつかの方法で回避される可能性があります。例えば、被害者の携帯電話に侵入して2FA情報を盗み出し、それを使って2FA対応サービスにログインするというものです。Escobarマルウェアは、そのようなマルウェアの一例です。
もう一つの手口は、ソーシャルエンジニアリングのトリックを用いてユーザー自身に2FAコードを攻撃者に提供させるというものです。この場合、攻撃者は通常、銀行の雇用主やITセキュリティ担当者など、アカウントに正当な利害関係を持つ人物を装います。攻撃者が2FAコードを入手すると、既に所有している認証情報と組み合わせて密かにログインし、ユーザーになりすますことができます。
この方法は、様々な理由から一部のサイバー犯罪者にとって扱いにくいものです。まず、捜査によって直接犯人が特定されないように、安全な方法で電話をかける必要があります。次に、電話で標的と直接やり取りする必要があります。攻撃者の中には、電話での俳優役の演技が苦手な者や、標的と同じ言語を話せない者もいます。そこで、音声自動応答システム(IVR)などの新しい技術が役に立ち、サイバー犯罪者が標的に直接話しかける手間を省くことができます。
OTPコードを傍受するボット技術
Cybleは、サイバー犯罪者が標的のワンタイムパスワードを傍受することで2FAを回避するために使用する様々なボットを公開しました。これらのシステムにおいて、サイバー犯罪者が不正なサービスに登録し、料金を支払った後は、常に同じ手口が用いられます(図A)。
図A
まず、攻撃者はアクセスしたいインターネット接続サービスにアクセスし、事前に入手した被害者の認証情報を提供します。同時に、攻撃者は標的のシステムに適したモードを選択し、被害者の携帯電話番号と銀行名またはサービス名をボットに入力します。すると、ボットはIVRを使用して銀行またはサービスになりすまして通話を開始し、ワンタイムパスワードを要求します。被害者がボットにコードを提供すると、攻撃者はそれを受け取り、侵害されたサービスに不正にアクセスできるようになります。
利用可能なさまざまなボットサービス
SMSrangerはTelegramベースのボットです。サイバー犯罪者の間で非常に人気があり、Cybleによると、イギリス、フランス、スペイン、ドイツ、イタリア、コロンビアでサービスを提供しています。サービスの料金は月額399ドル、または生涯利用の場合は2,800ドルです。
「SMSrangerボットには、リテールバンキング、PayPal、Apple Pay、メール利用者、携帯電話事業者の消費者、そしてカスタマーサービスを特に狙ったモードが搭載されていました」とCyble氏は述べた。「カスタマーサービスモードでは、詐欺師がピアツーピアの暗号化音声通話を介して被害者に接続し、音楽をバックグラウンドで流しながら通話を保留したり、通話中にメッセージを送信したりするオプションを提供していたとされています。」
OTP BOSSも詐欺サービスの一つで、月額1,200ドルかかります。このサービスは、米国、カナダ、英国、フランス、スペイン、ドイツ、イタリア、コロンビアのユーザーをターゲットにしており、最近ではオーストラリア、シンガポール、マレーシア、ベルギーもターゲットに加わりました(図B)。
図B
調査によると、OTP BOSS ボットを操作する脅威アクター自身も、偽造銀行小切手、侵害されたアカウント、支払いカードによる収益化に深く関与していることがわかりました。
PizzaOTP は月額 350 ドルで、米国、インド、カナダ、英国、オーストラリア、ドイツ、フランス、イタリア、ブラジル、スペイン、ポルトガル、イスラエル、オーストリア、スイス、パキスタンのユーザーをターゲットにできるもう 1 つのサービスです。
他にもいくつかのサービスが存在し、過去にも存在していましたが、2021年に法執行機関の活動によるものと思われる多くのサービスが突然閉鎖されました。同様のサービスはDiscordプラットフォームにも存在しており、インスタントメッセージングプラットフォームにも同様のサービスが存在する可能性があります。
この脅威から身を守る方法
この脅威は、攻撃者が既に最初の認証チャネルを保有している場合にのみ有効です。多くの場合、最初の認証チャネルはユーザー名やパスワードなどの有効な認証情報となります。
攻撃者が既にこの認証情報を入手している場合、自身で開始していないIVR通話の着信では、いかなる機密情報も共有しないでください。そのような通話が着信した場合、最初の認証チャネルが既に攻撃者によって所有されている可能性があるため、直ちに変更することを強くお勧めします。
また、このような詐欺行為に対する認識を高めることも推奨されます。特に、銀行会社やその他のオンライン サービスがユーザーの OTP を要求することは決してないということをすべてのユーザーに認識させることが重要です。
最後に、一般的な脆弱性を悪用する攻撃者による資格情報の初期侵害を回避するために、すべてのソフトウェアとオペレーティング システムを最新の状態に保つことを強くお勧めします。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
