Retool blames breach on Google Authenticator MFA cloud sync feature
2023/09/15 BleepingComputer — ソフトウェア会社 Retool は、標的型の多段階ソーシャル・エンジニアリング攻撃により、クラウド顧客 27社のアカウントが侵害されたと発表した。Retool の開発プラットフォームは、スタートアップから Fortune 500 にいたるまで、さまざまな企業のビジネス・ソフトウェアの構築に利用され、その顧客には Amazon/Mercedes-Benz/DoorDash/NBC/Stripe/Lyft なども含まれる。Retool のエンジニアリング責任者である Snir Kodesh は、乗っ取られたアカウントは、すべて暗号通貨業界の顧客のものであることを明らかにした。この侵入は 8月27日に発生し、攻撃者は SMS フィッシングとソーシャル・エンジニアリングを使用して、複数のセキュリティ制御を迂回し、IT 従業員の Okta アカウントを侵害していった。
この攻撃は、以前に発表された Okta へのログイン・マイグレーションで開始されたものであり、Retool の社内 ID ポータルになりすました URL が用いられていた。
標的となった従業員の大半、フィッシング・テキスト・メッセージを無視したが、そのうちの1人が、埋め込まれたフィッシング・リンクをクリックしたことで、多要素認証 (MFA) フォームのある偽ログイン・ポータルへとリダイレクトされた。
そこて、この攻撃者はサインイン後に、その従業員の音声を偽装し、新たな標的である IT チーム・メンバーに電話をかけ、追加の MFA コードを提供するよう促し、その従業員の Okta アカウントに攻撃者が管理するデバイスを追加させた。
ハッキングの原因は Google Authenticator の新たな同期機能
Retool は、このハッキングが成功してしまった原因について、2FA コードを Google アカウントと同期させる、Google Authenticator の新機能を非難している。
同じアカウントにログインしていれば、複数の端末で Google Authenticator の 2FA コードを使用できるようになるため、この機能に対する要望は、以前から多かったという。
しかし Retool によると、この機能は8月の情報漏えいが多発した原因でもあり、従業員の Google アカウントのフィッシングに成功したハッカーが、社内サービスで使用するすべての 2FA コードにアクセスできるようになったという。
Kodesh は、「これらのコード (と Okta のセッション) を使って、攻撃者は当社の VPN にアクセスし、当社の内部管理システムにアクセスした。それにより、特定の顧客 (すべて暗号業界) に対して、アカウント乗っ取り攻撃を実施できた。そして、アカウントの乗っ取りに成功した攻撃者は、Retool アプリのいくつかの弱点を突いた」と述べている。
Kodesh の説明によると、当初、Retool は MFA を有効にしていたが、Google Authenticator がクラウドに同期した認証コードが原因となり、不注意にも1要素認証に移行してしまったという。
この移行は、Okta アカウントのコントロールが Google アカウントのコントロールに変換され、Google Authenticator 内に保存された全てのワンタイム・パスワード (OTP) へのアクセスが許可されたことで発生している。
彼は、「Google は、Google Authenticator のダーク・パターン (MFAコードをクラウドに保存することを推奨) を廃止するか、少なくともユーザー組織に対してダーク・パターンを無効にする機能を提供するべきだ」と強く主張している。
Google Authenticator はクラウド同期機能を推進しているが、これは必須ではない。この機能を有効にしている場合は、アプリの右上にあるアカウントの円をクリックして、”Use Authenticator without an account” を選択することで、この機能を無効にできる。それにより、アプリからログアウトし、Google アカウントに同期された 2FA コードが削除される。
Google の広報担当者は「私たちの最優先事項は、消費者であれ企業であれ、すべてのオンライン・ユーザーの安全とセキュリティにある。今回の出来事は、私たちが認証技術の向上に専心し続ける理由を示す、もう一つの例であり。これ以外にも、フィッシングに強いパスキーなど、より安全な認証技術全体への移行を、引き続き奨励していく」と BleepingComputer に語っている。
また、Google は、同様の攻撃を阻止する簡単な方法として、従来のワンタイム・パスワード (OTP) 多要素認証から、FIDO ベースの技術への移行を推奨している。
Google の広報担当者は「OTP ベースのようなレガシーな認証技術には、フィッシングやソーシャルエンジニアリングに対するリスクがあるため、業界は FIDO ベースの技術に重点的に投資している。これらの変更に向けて引き続き取り組んでいるが、Google Authenticator のユーザーには、OTP を Google アカウントに同期するか、ローカルにのみ保存するかを選択できることを知ってもらいたいと思う。Google Authenticator の今後の改良を検討する中で、セキュリティとユーザビリティのバランスに、引き続き取り組んでいく」と述べている。
オンプレミスの Retool 顧客は侵害されていない
今回のセキュリティ・インシデントが発覚した後に Retool は、Okta と G Suite を含む、すべての社内従業員の認証セッションを無効にした。また、侵害された 27のアカウントへのアクセスを制限し、影響を受けた全てのクラウド顧客に通知を行い、乗っ取られたアカウントを元の設定に戻したという (Retool によると、このインシデントでオンプレミスの顧客に影響はなかった)。
Kodesh は、「つまり、攻撃者は Retool のクラウドにアクセスできたが、オンプレミスの顧客には影響を与えなかったことを意味する。暗号分野や大規模顧客の大半が、オンプレミスで Retool を使用していることは注目に値する」と述べている。
Coindesk のレポートによると、Retool で発生した侵害は、9月上旬に Fortress Trust で $15 million が盗まれた事件と関連しているようだ。
Retool の開発プラットフォームは、スタートアップから Fortune 500 にいたるまで、さまざまな企業のビジネス・ソフトウェアの構築に利用され、その顧客には Amazon/Mercedes-Benz/DoorDash/NBC/Stripe/Lyft なども含まれる。
また、脅威アクターたちは、企業ネットワークへの最初のアクセスを得るために、IT サービス・デスクやサポート担当者を標的にした、ソーシャルエンジニアリング攻撃を多用し始めている。
この手口でハッキングされた企業のリストには、Cisco/Uber/2K Games などがあるが、最近では MGM Resorts も含まれるようなった。
2023年8月下旬に Okta は、ハッカーに騙された Super Admin たちが組織管理者アカウントの多要素認証 (MFA) 防御をリセットした後に、IT サービス・デスク経由でネットワークに侵入されたことを顧客に警告している。
その一方で、今週には米国連邦政府機関も、ディープフェイクを使用する攻撃者の背後に潜む、サイバー・セキュリティ上のリスクについて警告している。サイバー犯罪者たちは、ソーシャル・エンジニアリング攻撃を成功させた後も、ネットワーク/通信/機密情報へのアクセスに使用された、ディープフェイクを検出するためのテクノロジーを推奨している。
なぜ、2FA コードをクラウドに持つ必要があるのでしょうか? 私の場合ですが、Google アカウントに関しても、2FA で保護しているのですが、その Google アカウントがハックされたら、すべての 2FA が無効化されることになるのだろうと思います。ちょっと頭が混乱していますが、早速 Google Authenticator アプリを開けて、スマフォ画面の右上にある丸アイコン (自分のアカウント・アイコン) をタップし、”Use Authenticator without an account” で解除しました。ちょっと心配だったので、「Gate.ioリマインド!Google Authenticatorでクラウド同期を無効」を参考にしました。いまのところ、不都合は生じていませんが、このクラウド同期を解除する際には、ご自身のご判断で行ってください。
IoT OT Security News 
You must be logged in to post a comment.