Zoom/Box/Google の URL スプーフィング問題:公認 SaaS のサブドメインなどが悪用される

Researchers uncover URL spoofing flaws on Zoom, Box, Google Docs

2022/05/11 HelpNetSecurity — フィッシング犯人が生成した悪意のコンテンツへのリンクが、組織の SaaS アカウントによるホストされているように見せかける、いくつかの URL スプーフィング・バグを、研究者たちが Box/Zoom/Google Docs で発見された。

多様な攻撃の導線になる

この脆弱性は、vanity URL に対する検証不足により発生し、ユーザーを騙す可能性を最大限に高めようとする、独自の SaaS アカウントを持つ攻撃者に対して、悪意のファイル/フォーム/ランディング・ページをホストするページの、URL の変更を許す可能がある。

Varonis の研究者は、「これらの偽装された URL は、フィッシング・キャンペーン/ソーシャル・エンジニアリング攻撃/レピュテーション攻撃/マルウェア配布などに、利用することが可能だ。多くの人は、一般的な app.box.com のリンクよりも、varonis.box.com のリンクを信用する傾向がある。しかし、そのサブドメインを偽装する何者かがいるなら、vanity URL への信頼は逆効果になるだろう」と指摘している。

研究者たちは、これらの欠陥が悪用される可能性について、以下の方法で実証している。

  • Box のテスト・アカウントに悪意の PDF とフィッシング・フォームを設置し、ファイル共有と公開ファイル・リクエストの URL を作成し、そのサブ・ドメインを変更する (リンクは機能し続ける!)。
  • 悪意の登録ページ/従業員ログインページ/会議記録ページを作成し、URL やブランド名に、Apple などのブランドを反映させる。
  • 特定の企業やブランドになりすました Google フォームやドキュメント (後者は Web 公開オプションで共有) を作成する。
URL spoofing Google Docs

対策

URL 偽装の脆弱性は、すでに Box により修正されているが、Zoom/Google Docs では、すべてが緩和されたわけではない。Varonis の調査チームは Help Net Security に対して、「Google Docs と Google Forms のバグについては、現時点でも再現が可能だ。Zoom のウェビナー登録と録画は、特定の状況下で再現できるが、すべてのケースでユーザーに警告メッセージが表示される。我々は、Google と Zoom が、より詳細な情報を必要とする場合に備えて、いまも連絡を取り合っているが、追加修正の予定の有無についての情報は得られていない」とも述べている。

このような vanity URL は、様々な SaaS アプリケーションに存在するため、従業員に対して行うべき教育の項目として、組織のサブドメインや人気ブランドのリンクを含むリンクを、盲目的に信用することのリスクを加える必要がある。また、フォームを介して機密情報の提出を求められた場合には、そのフォームが組織により公認されている SaaS アカウントによりホストされているように見えても、注意する必要があると、組織に助言している。

サブドメインの悪用に関しては、3月29日の「サブドメインの乗っ取りが増加:クラウド台頭によりエスカレートしている」という記事があります。その記事では、「サブドメインを指すサービスの有効期限の失効などにより、攻撃者による機密情報を窃取や、フィッシング詐欺の侵入口となる可能性が生じる」と指摘されています。また、2021年9月には、「6万以上のパークドメインに危機:レジストラだけではなく AWS にも問題が」という記事もありました。よろしければ、ご参照ください。

%d bloggers like this: