Cloudflare の従業員に SMS フィッシング攻撃:Twilio の二の舞にならなかった理由は?

Cloudflare employees also hit by hackers behind Twilio breach

2022/08/09 BleepingComputer — 先週の Twilio のネットワークが侵害されたのと同様に、Cloudflare にも SMS フィッシング攻撃が発生し、同社の従業員の一部が認証情報を盗まれたとのことだ。この攻撃者は Cloudflare 従業員のアカウントを手に入れたが、同社の FIDO2 準拠のセキュリティキーによりログインでブロックされ、システムへの侵入には至らなかったという。

火曜日の時点で Cloudflare は、「Twilio が攻撃されたのと同時期に、Cloudflare の従業員を狙った類似攻撃が確認された。フィッシング・メッセージに騙された従業員がいたが、Cloudflare One 製品が発行する物理的なセキュリティ・キーにより、すべてのアプリケーションへの攻撃を阻止できた。攻撃者は、漏洩したユーザー名とパスワードを使って当社システムにログインしようとしたが、ハードキーの要件を通過できなかった」と述べている。

Cloudflare も明らかにしているように、このフィッシング・ページに認証情報を入力してしまうと、AnyDesk リモート・アクセス・ソフトウェアが自動的にダウンロード/インストールされ、脅威者によるリモートからの制御が可能になるという流れになっていた。

T-Mobile の電話番号から、76人の従業員と家族に送られたフィッシング・メッセージは、cloudflare-okta[.]com ドメインにホストされている、Cloudflare Okta ログインページのクローンへとターゲットをリダイレクトしていた。

SMS phishing message sent to Cloudflare employees (Cloudflare)


このドメインは、Twilio 攻撃でのランディング・ページをホストするために使用された、Porkbun レジストラ経由で登録されたものだった。

この攻撃に対し、同社は以下のような対策を講じていた。

  • Cloudflare Gateway を用いてフィッシング・ドメインをブロック
  • 影響を受けた全ての Cloudflare 従業員を特定し、侵害された資格情報をリセット
  • 脅威アクターのインフラを特定してダウンさせる
  • 検出結果を更新し、その後の攻撃の試みを特定
  • サービス・アクセス・ログを監査して、他の攻撃の兆候を確認

クラウド。コミュニケーション企業である Twilio は、人気の 2FA プロバイダーである Authy を所有しているが、今週に同様の攻撃を受けたことを公表している。

Cloudflare とは異なり Twilio では、SMS フィッシング攻撃で従業員の認証情報を盗んだ攻撃者が、社内システムへの侵入に成功した後に、一部の顧客データにアクセスしたとされる。

Twilio は、同時期に同様の攻撃の標的となった他の企業と、インシデント対応作業を調整したことを明らかにしている。

同社は、「他社からも、同様の攻撃を受けたと聞いており、通信事業者と連携した悪質なメッセージの停止や、レジストラ/ホスティング・プロバイダーと連携した悪質な URL の遮断など、脅威アクターへの対応を調整した」と述べている。

このような、各社の対応にもかかわらず、脅威アクターは、キャリアやホスティング・プロバイダーを介して攻撃を再開するために、ローテーションを続けているようだ。

昨日である8月8日に、「Twilio にデータ侵害が発生:従業員に対する SMS フィッシングが攻撃の侵入経路」という記事をポストしていますが、タイミングからして、同じ驚異アクターによる攻撃なのかもしれませんね。Twilio と同様に、Cloudflare 従業員のアカウントが流出しましたが、Cloudflare の FIDO2 (Fast IDentity Online) 準拠のセキュリティキーが、驚異アクターをブロックしたとのことです。よろしければ、FIDO Alliance の解説も、ご参照ください。日本語の解説は、こちらです。

%d bloggers like this: