Attackers Can Use Modified Wikipedia Pages to Mount Redirection Attacks on Slack
2023/10/30 SecurityWeek — Slack ユーザーを悪意の Web サイトにリダイレクトするための、新たな手口について、eSentire のセキュリティ研究者たちが注意を呼びかけている。この Wiki-Slack 攻撃と呼ばれる手法は、修正された Wikipedia のページを使用し、Slack 上でページがレンダリングされる際の、書式エラーを悪用するものである。この攻撃を仕掛ける脅威者が最初に行うことは、ターゲットが興味を持ちそうな Wikipedia の記事を選択し、最初の段落の末尾に正当な脚注を追加するように修正し、その記事を Slack で共有することである。
その脚注自体には悪意はないが、Slack が共有ページのプレビューをフォーマットする方法に応じて、Wikipedia では表示されないリンクが、コラボレーション・ソリューション上に表示されることになる。
eSentire の記事には、「ビジネス・ユーザーが Slack チャネルで Wikipedia のエントリーをコピー&ペーストすると、悪意のリンクが表示される。そのリンクに関連する文法が巧妙に構成されている場合には、Slack ユーザーに対してクリックが促され、ブラウザベースのマルウェアが待機している悪意の Web サイトへの誘導が行われる」と記されている。
この Wiki-Slack 攻撃は、Wikipedia の記事の第一段落の末尾に ”参照” があり、第二段落の先頭の単語が TLD (Top-Level Domain) であることに加えて、この2つの条件が、記事の最初の 100 ワード内に収まることが前提となる。
研究者たちは、「それにより、Slack は第一段落と第二段落の間の空白を誤って処理し、Slack 内に新しいリンクを自発的に生成してしまう。つまり、この攻撃は基本的に数の勝負である。攻撃者は、多数のターゲットを感染させるために、可能な限り多くの Wikipedia ページを修正し、そのページのドメインを登録する必要がある」と述べている。
さらに eSentire は、Wikipedia の統計をする攻撃者が、高いトラフィックを生み出すページを探し出し、それを悪用するかたちで、Wiki-Slack 攻撃を仕掛ける可能性があると警告している。
この攻撃の成功率を高めるために、脅威アクターたちはターゲットの背景を事前に調査し、Slack を使用していることを確認する。そして、ChatGPT などの大規模言語モデル (LLM) を悪用して、攻撃をスケールさせる可能性があると、eSentire は指摘している。
たとえば Medium ブログに対しても、同様の手口を用いることが可能だが、著者が管理する Medium ブログよりも信頼性が高いとされる Wikipedia ページを悪用する方が、成功率が高いと研究者は指摘している。
このような攻撃を防ぐために、組織に対して推奨されるのは、マルウェア感染につながるブラウザ・ベースの攻撃への意識を高め、エンドポイント監視を採用し、サイバー・リジリエンスを達成することである。
一言でいうと、この改ざんで兵器化された Wikipedhia ページを Slack 上に貼り付けると、悪意のリンクが表示されるようになり、それをクリックしたユーザーがリダイレクトされるようです。いろんなことを考えるものだと感心しますが、そのように細工されたページが、Wikipedhia 内に大量に仕込まれると、かなり厄介なことになりそうです。Slack 側の対応が求められますね。よろしければ、Slack で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.