Cisco Duo’s Multifactor Authentication Service Breached
2024/04/16 DarkReading — Cisco の MFA サービス Duo に関する、テレフォニー担当のサードパーティ・プロバイダーが、ソーシャルエンジニアリングによるサイバー攻撃を受けた。現時点において、Cisco Duo のユーザーたちは、それに続くフィッシング詐欺などに警戒する必要がある。
Cisco Duo の SMS/VOIP 多要素認証メッセージング・トラフィックを処理する企業が、4月1日に侵害されたことを説明する通知が、ユーザーたちに送られた。このインシデントを引き起こした脅威アクターは、漏洩した従業員の認証情報を悪用していると報告されている。このサービス・プロバイダーのシステム内に侵入した脅威アクターは、特定の時間枠内の、特定のユーザーの、SMS ログをダウンロードしたという。
なお、Cisco Duo のアドバイザリでは、侵害されたテレフォニー・プロバイダーは特定されていない。
Cisco のアドバイザリには、「より具体的に言うと、この攻撃者は、2024年3月1日から 3月31日までの間に、Duo アカウントないにおいて、特定のユーザーに送信された SMS メッセージのログをダウンロードしている。このメッセージ・ログには、メッセージの内容は含まれていないが、それぞれのメッセージが送信された電話番号/電話会社/国/州および、その他のメタデータである日付/時刻/メッセージの種類などが含まれる」と記されている。
Cisco は、影響を受けたユーザーに対して、また、情報が流出した人物に対して通知を行い、盗まれたデータを悪用するフィッシング攻撃に警戒し続けるよう助言している。
Saviynt の Chief Product and Strategy Officer である Jeff Margolies によると、今回の情報漏洩は、ソーシャル・エンジニアリングによるサイバー攻撃の成功と、ID セキュリティ・プロバイダーへの注目という、2つのトレンドに沿ったものだという。
彼は、「ここ数年、Okta や Microsoft などの ID セキュリティ・プロバイダーに対する攻撃が続いている。また、2011 年の RSA SecurID トークン攻撃まで遡れば、この種の攻撃の手口も確認できる。つまり、このような攻撃は、はるか昔から行われているのだ」と付け加えている。
Jeff Margolies は、ID セキュリティ・プロバイダーが、システムの安全性を確保するために、さらに努力すべきだとしている。それに加えて、企業チームは、これらのサービスへの侵害が、自社のサイバー・セキュリティ態勢にとって、どのような意味を持つのかを評価する必要があると、指摘している。
彼は、「ユーザー企業は、サードパーティの ID セキュリティ企業に依存していることを理解すべきであり、それらの企業への攻撃が及ぼす影響も知る必要がある。ID セキュリティ・プロバイダーのイベントを検出して対応するために、どのような緩和策が講じられているのかを、理解することも重要である」と説明している。
Cisco Duo の MFA トラフィックを SMS/VOIP で処理するテレフォニー・プロバイダーが、ソーシャルエンジニアリングにより侵害されてしまったようです。2024/04/11 の「LastPass の CEO になりすました音声フィシング:従業員の機転により被害には至らず」を読むと、この種の攻撃が、かなりのレベルまで巧妙化している実態が分かります。よろしければ、カテゴリ Scammer も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.