ソーシャルメディアは、サイバー犯罪者が標的を攻撃するために好んで利用する領域の一つです。そして、最も人気のあるソーシャルネットワークの一つであるFacebookは、しばしばマルウェア攻撃の標的となっています。サイバーセキュリティプロバイダーのWithSecure Intelligenceが分析した新たな攻撃は、Facebookのビジネスユーザーを標的とし、機密データを盗み出し、アカウントを乗っ取ろうとするものです。
Ducktail はどのように企業を攻撃するのでしょうか?
FacebookのMeta Business Suiteを利用することで、企業は特定の従業員を指名し、顧客とのコミュニケーション、自社製品やサービスに関する説明、Facebook上で配信する広告の作成などを行うことができます。「Ducktail」と呼ばれる悪質なキャンペーンでは、サイバー犯罪者はFacebookのビジネス/広告プラットフォームを利用する企業を探し出し、その企業内でビジネスアカウントへの高度なアクセス権を持つ可能性のある人物を標的とします。WithSecureによると、このキャンペーンで標的とされた従業員には、管理職、デジタルマーケティング、デジタルメディア、人事部門の従業員が含まれています。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
次のステップとして、攻撃者は潜在的な被害者にマルウェアを展開します。マルウェアはLinkedIn経由で配信される場合もあり、DropboxやiCloudなどのクラウドベースのサービスにホストされていることが多いです。マルウェア自体は、文書、画像、動画を含むアーカイブファイルとしてパッケージ化されています。「プロジェクト開発計画」や「プロジェクト情報」といった名前が付けられたこれらのファイルは、ユーザーがファイルを開いてマルウェアを起動するように仕向けるように設計されています。
インストールされると、マルウェアはGoogle Chrome、Microsoft Edge、Brave、Firefoxのいずれかのブラウザをスキャンします。Ducktailは各ブラウザで、FacebookセッションのCookieを含むすべての保存済みCookieを抽出します。そして、そのCookieを使って、マルウェアはさまざまなFacebookエンドポイントに接続し、ユーザーのFacebookアカウントから情報を取得します。
個人のFacebookアカウントの場合、マルウェアはユーザーの名前、メールアドレス、生年月日、ユーザーIDを盗み取ろうとします。ビジネスアカウントの場合、名前、認証ステータス、広告アカウントの上限、所有者、役割、クライアント名を盗み取ります。また、関連するFacebook広告アカウントの場合、名前、ID、アカウントステータス、支払いサイクル、通貨、支出額を盗み取ります。
最終的に、サイバー犯罪者は被害者のFacebookビジネスアカウントの管理者および財務編集者の権限を自身に付与します。この目的が達成されると、アカウントを完全に制御できるようになり、クレジットカード情報、取引、請求書、支払い方法にアクセスして変更できるようになります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
「企業が従来のランサムウェア攻撃への意識を高め、耐性が強まるにつれ、サイバー犯罪者はサイバー攻撃を成功させて不正な金銭的利益を得るための新たな方法を模索するでしょう」と、サイバーセキュリティ企業Cerberus Sentinelのソリューションアーキテクチャ担当副社長、クリス・クレメンツ氏は述べています。「歴史的に見ても、2020年7月のTwitterハッキングのように、ソーシャルメディアアカウントを狙った同様の攻撃はありましたが、Facebookのビジネスアカウントを標的とする標的型攻撃は、新しく興味深いアプローチです。詐欺やマルウェアへのリンクを投稿することですぐにその正体が明らかになる従来のソーシャルメディアハイジャックとは対照的に、今回のキャンペーンはよりステルス性が高く、広告費の改ざんや広告詐欺の導入を狙っています。」
この新しいマルウェアから企業を守る
こうしたソーシャル メディアを介した脅威から組織を保護するために、WithSecure では次のような推奨事項を提供しています。
- エンドポイント検出および対応ツールを活用する: EDR ツールは攻撃のあらゆる段階を分析し、単一のインシデントに関する情報を生成して、攻撃の検出と軽減に役立ちます。
- エンドポイントの保護:優れたエンドポイント保護・セキュリティツールは、社内外のネットワークやデバイス全体でマルウェアを検出できます。リアルタイム保護が有効になっていることを確認しつつ、エンドポイントで完全な手動スキャンも実行してください。
- Facebookビジネスユーザーの確認:Facebookビジネス管理者ページにログインし、追加されたすべてのユーザーを確認してください。「ビジネスマネージャ」を選択し、「設定」から「ユーザー」を選択してください。管理者権限を付与された不明なユーザーのアクセスを取り消すことができます。
「ほぼすべての組織は、ソーシャルエンジニアリングによる侵害の可能性を大幅に低減することに重点を置くことで、サイバーセキュリティ防御計画を最も効果的に改善できるでしょう」と、サイバーセキュリティ企業KnowBe4のデータドリブン防御エバンジェリスト、ロジャー・グライムズ氏は述べています。「すべての組織は、ソーシャルエンジニアリングに対抗するために、多層防御計画(ポリシー、技術的防御、教育など)のどこを改善できるかを検討する必要があります。ハッカーやマルウェアが長期にわたって成功を収めることができるのは、ソーシャルエンジニアリング対策に必要なリソースとトレーニングを適切に集中させている組織がほとんどないからです。」
