FBI でメール・ハッキング:偽の緊急メッセージが配信された

FBI system hacked to email ‘urgent’ warning about fake cyberattacks

2021/11/13 BleepingComputer — FBI のメールサーバーがハッキングされ、受信者のネットワークが侵害されデータが盗まれたという、FBI の警告を装ったスパムメールが配信されていた。このメールは、「Vinny Troia と名乗る既知の高度な脅威アクターからの高度な連鎖攻撃について警戒」するように装われていた。Troia とは、ダークウェブ・インテリジェンス企業である NightLion と Shadowbyte の、Head of Security Research である。

スパムを追跡する非営利団体 SpamHaus は、今朝早くに、これらのメッセージが2回に分けて、トータルで数万回は配信されていることに気づいた。彼らは、これはキャンペーンの、ごく一部に過ぎないと考えています。

正当なアドレスが偽のコンテンツを配信

スパムおよびサイバー脅威 (フィッシング/ボットネット/マルウェア) を追跡する国際的な非営利団体である Spamhaus Project の研究者たちは、このキャンペーンが午前5時と7時 (UTC) に2つの波を作っていることを確認した。

これらのメッセージは、FBI の Law Enforcement Enterprise Portal (LEEP) の正規のメールアドレス (eims@ic.fbi.gov) から発信されており、件名は「緊急:システム内の脅威となる行為者」となっていた。すべてのメールは、FBI の IPアドレス 153.31.119.142 (mx-east-ic.fbi.gov) から着信していると Spamhaus は伝えている。

Spamhaus Project が BleepingComputer に語ったところによると、この偽装メールは少なくとも10万のメールボックスに届いたという。しかし、この数字は非常に控えめな推定値であり、研究者たちは、このキャンペーンは潜在的に、もっともっと大きなものだったと考えている。

この非営利団体は本日のツイートで、受信者リストは American Registry for Internet Numbers (ARIN) データベースから取得された述べている。
これはいたずらのように見えるが、メッセージのヘッダーにおいて、DKIM (DomainKeys Identified Mail) メカニズムにより送信元が検証されていることから、FBI のサーバーから送信されたものであることは間違いない。
また、ヘッダーには、メールを処理した、以下の FBI 内部サーバーが表示されている。

  • DAP00025.STR0.EIMS.CJIS
  • wvadc-dmz-pmo003-fbi.enet.cjis
  • dap00040.str0.eims.cjis

    FBI は、メールの内容が偽物であることを確認している。また、心配した管理者からヘルプデスクに電話が殺到しており、問題解決に向けて取り組んでいることを明らかにした。BleepingComputer への声明の中で FBI は、現在進行中の状況であるため、これ以上の情報は提供できないと述べている。

    同組織は、「FBIとCISAは、今朝発生した @ic.fbi.gov メールアカウントからの偽装メールの件を認識している。これは現在進行中の事態であり、現時点では追加情報を提供することはできない。我々は引き続き、未知の送信者に注意するよう一般市民に呼びかけており、不審な活動を http://www.ic3.gov または http://www.cisa.gov に報告するよう促している」となっている。

    BleepingComputer に送られた2つ目の声明の中で FBI は、このスパム・キャンペーンの背後にいる脅威の行為者は、ソフトウェアの設定を利用してメールを送信したと述べている。メッセージは FBI が管理するサーバーから送信されたが、そのマシンは FBI の内部メールとは分離されており、FBI ネットワーク上のデータや個人を特定できる情報へのアクセスを提供するものではなかった。

    FBI は、「ソフトウェアの設定ミスにより、ある行為者が一時的に Law Enforcement Enterprise Portal (LEEP) を利用して偽メールを送信できたことを認識している。LEEP は、州や地方の法執行機関とのコミュニケーションに使用される、FBI の IT インフラである。不正な電子メールは FBI が運用するサーバーから送信されていたが、そのサーバーは LEEP の通知を送信するためのものであり、FBI の内部電子メールサービスの一部ではない。また、FBI ネットワーク上のデータや PII にアクセス/侵害することはできない。この事件を知った後に、私たちは直ちにソフトウェアの脆弱性を修正し、パートナーに偽装メールを無視するよう警告し、ネットワークの完全性を確認した」と述べている。

    Investigative Journalist である Brian Krebs が、このキャンペーンを実行した人物から入手した技術的な詳細によると、LEEP ポータルでは、誰でもアカウントを申請できたという。ただし、登録の際には、連絡先情報の入力が必要だったという。

    土曜日に Krebs は、「このプロセスの重要なステップでは、申請者はワンタイム・パスコード付きの確認メールを eims@ic.fbi.gov から受け取ることになっている。このコードと申請者の連絡先は、Web ページの HTML コードの中に漏れていた。脅威アクターはスクリプトを使って、メール件名と本文のパラメータを変更し、メッセージの送信を自動化できまた」と述べている。

セキュリティ研究者の信用を落とすことが目的

このキャンペーンの背後にいる人物は、ダークウェブ・インテリジェンス企業である Shadowbyte の、創設者である Vinny Troia の信用を失墜させることを動機としている可能性がある。

RaidForums というハッキング・コミュニティのメンバーは、Troia と長年にわたって反目しており、Web サイトを改ざんや小規模なハッキングを、このセキュリティ研究者のせいにしている。

今回のスパムキャンペーンについてツイートした Vinny Troia は、pompomourin と呼ばれる人物が、攻撃を行った可能性が高いことを示唆している。Troia によると、この人物は過去にも、セキュリティ研究者の評判を落とすことを目的とした事件に関わっていたという。

BleepingComputer の取材に対し、Troia は「私の推測では、pompomourin と手下たちが、今回の事件の背後にいる。前回、彼らは、国立行方不明児童センターのブログをハッキングして、私が小児性愛者であるという記事を載せた」と述べている。この推測は、スパムメール・キャンペーンが始まる数時間前に、pompompurin が Troia に連絡を取り、この研究者を巻き込んだことを警告し、「お楽しみに」と言ったという事実により、さらに裏付けられる。Troia によると、pompompurin は研究者の信用を落とすための攻撃を開始するたびに、メッセージを送ってくるという。

Shadowbyte の創設者である Vinny Troia という人は、この分野における筋金入りの戦士なのでしょう。さまざまな嫌がらせを受けながら、ときには見の危険を感じながら、も、この活動を続けているようです。それにしても、LEEP の申請者の連絡先などが Web ページの HTML コードの中に漏れていたというのは、FBI として痛恨ですね。問題点は把握され、修正も済んでいるようなので、今後は安定して運用されるでしょう。そう期待したいです。

%d bloggers like this: