Slack/Teams/Zoom などによる攻撃面積の拡大を理解する

Understanding the Human Communications Attack Surface

2021/11/01 DarkReading — 最近の話だが、Slack/Microsoft Teams/Zoom などのチャネルで、人と人のコミュニケーションを悪用した脆弱性の公開や、PoC エクスプロイトの悪用などのインシデントが増えている。これらのクラウド・ベースのチャネルは、具体的な攻撃手段であるだけではなく、内部の人間にアクセスできるという点で、ヒューマン・コミュニケーションを悪用する犯罪者にとって、魅力的な手段となっている。

今回の調査では、人と人とのコミュニケーションを標的としたキルチェーンは、企業への侵入に用いられるサイバー・キルチェーンにマッピングできると結論づけられている。リモートワークでは、電子メール以外の新しいコミュニケーション・ツールへの依存が増加し、それらが企業のワークフォースに不可欠なツールとなり、今後も攻撃が拡大していくと予測される。企業は、適切なセキュリティ戦略を講じるために、コミュニケーションを標的とした攻撃の、全貌を理解する必要があるだろう。

コミュニケーションを利用した欠陥の偵察など

敵対者は、通信プラットフォームを利用して偵察を行い、貴重な情報を収集する。その情報は、フィッシングなどのテクニックを用いた、説得力のあるソーシャル・エンジニアリング攻撃より、被害者を危険にさらすことになる。よく見られる手口としては、オープン・リダイレクト URL (ドメインは正規のサイトだが、URL の本文にはリンクのパラメータに記載された、別のサイトに被害者を誘導するためのクエリが含まれている) が挙げられる。また、最近のキャンペーンでは、偽の Zoom ミーティングの招待状を使って、認証情報を盗み出すというインシデントも発生している。

また、悪意のアクターは、盗まれた認証情報をダークウェブ上で大量に入手できるため、従業員のパスワードが再利用される可能性が高い、コラボレーション・アプリのアカウントに対する認証情報スタッフィング攻撃に利用される。さらに、Slack などの侵害されたアカウントのクッキーは、ダークウェブ上の Genesis などのサイトで容易に購入できる。

これらのサイトでは、ボットネット内のアカウントが、任意の数だけ販売されている。それらのクッキーやデバイスのフィンガープリントは、企業のインフラストラクチャ内で動作しているため検出されず、標的型の攻撃や侵害を発生させることになる。このようにして、脅威アクターは Electronic Arts の Slack チャンネルにアクセスし、重大なデータ漏洩の入口とした。

プラットフォームとユーザーの双方による設定ミスは、企業データを危険にさらす可能性が高い。たとえば、Salesforce Communities では、ユーザーが誤ってデータを公開してしまうことがあった。また、Slack では、以前に報告された欠陥を悪用して、誰もが API キーを作成することができ、その後も、公開チャンネルから連絡先情報をスクレイピングすることが可能だった。

また、企業は、プライバシー設定の適切な管理/導入に関して、日常的にミスを犯しており、データの漏えいを引き起こし、また、攻撃を受けやすい状態になっている。これらのサードパーティ製プラットフォームでは、共有がデフォルト設定になっていることや、公開を避けるために遵守すべきしセキュリティ対策が複雑なことが多く、採用する企業が容易に失敗に陥るケースが見られる。

最近では、Microsoft Power Apps の、不明瞭なセキュリティ・ガイドラインが下人となり、大手企業や地方自治体などの 3800万件以上の機密記録が公開されてしまったインシデントは、この種のリスクの分かりやすい事例である。

また、Slack のようなサービスでは、会議のプラットフォームを承認する待合室などの設定を、個々のユーザーが手動で調整する必要があるため、制限的なセキュリティ設定を全従業員に対して自動化することは難しいかもしれない。

人的コミュニケーションに焦点を当てた攻撃者の行動

攻撃者がアカウントに侵入すると、ソーシャル・エンジニアリング攻撃により、従業員/IT チーム/役員などをターゲットにした、認証情報や VPN トークンなどのアクセス情報の窃取が開始される。

これらのプラットフォームでは、悪意のコンテンツのスキャンが十分に行われないため、攻撃者はマルウェアをクラウドチャネルに直接にアップロードし、正当な外観の添付ファイルを装い、他のユーザーに配信できる。また、悪意のリンクを共有させ、従業員を外部サイトに誘導し、認証情報窃取やマルウェア感染に引き込むことも可能だ。

犯罪者は、コラボレーション・アプリから得た情報を、これらのプラットフォーム外での攻撃手段としても利用する。攻撃者は、Slack や Discord などのコラボレーション・プラットフォーム上にマルウェアをホスティングすることで、従来のマルウェア検出ツールを回避できる可能性が高く、かつ、受信者の不意を突くフィッシング・メールを介して、従業員に悪意のリンクを配信していく。同様に、Google Drive などのクラウドベースのプラットフォームを利用して、正規の共有文書を偽装し、悪意のリダイレクト・リンクをホストして、標的型のフィッシング攻撃を行っている場合もある。

新たなリスクを管理するための方法とは

企業にとって重要なことは、電子メールに存在する新旧の脅威が、Slack/Teams/Zoom などのコミュニケーション・プラットフォームに移行していることの認識だ。攻撃者は、独自のキルチェーン (サイバー・キルチェーンに類似) を開発し、共通のステップ・バイ・ステップのプロセスを繰り返し、これらのクラウドベースのコミュニケーション・チャネルから組織に侵入していく。ただし、企業ユーザーは、自社の通信トラフィックを検査することで、自社のリスクレベルを把握できるはずだ。

攻撃者は、さまざまな手段で、これらのプライベートな通信チャネルにアクセスするため、企業側は多層化された防御戦略を拡張し、ビジネスへの侵害/請求書詐欺/クレデンシャルやアクセス権の窃取備えていく必要がある。

企業は、厳格なポリシーを策定/施行し、セキュリティ向上のためのトレーニングを定期的に実施する必要がある。具体的には、機密情報 (アカウント資格情報など) の共有の禁止/監視および、ファイルのアップロード/リンクの循環/ファイルとリンクの検査などによる、侵害の有無の評価が含まれる。 また、企業はアプリの権限設定を通じて、ユーザーの行動を制限する必要があり、プライバシー設定が利用可能な場合は、常に有効になっていることを確認する必要がある。

Slack も Teams も Zoom も、とても便利だから使ってしまいますよね。ただし、文中にもあるように、「共有がデフォルト設定になっていることや、公開を避けるために遵守すべきしセキュリティ対策が複雑なことが多く」というのは、もっともな指摘です。どこまでが内側で、どこからが外側なのか?内側で共有しているはずのファイルは、どんなストレージに置かれているのか? ・・・などなど、考えてみれば不安なことだらけです。まぁ、そんなサービスだと割り切り、交換/共有する情報のレベルを限定することが、現時点での安全な利用方法なのだと思います。

%d bloggers like this: