フィッシング
SNS乗っ取り、不審メール、東京オリンピックを前に関連脅威が露見
東京オリンピックの開催を目前に控え、大会運営を狙うサイバー攻撃の発生が懸念されています。そんな中、2月中旬には、海外でソーシャルメディアのオリンピック公式アカウントがハッキングされた事例が報じられました。またそれとは別のオリンピック関連事例として、トレンドマイクロでは大会関係者を狙ったものと考えられる不審メールの存在を、国内でも確認しています。
東京オリンピックの開催を目前に控え、大会運営を狙うサイバー攻撃の発生が懸念されています。そんな中、2月中旬には、海外でソーシャルメディアのオリンピック公式アカウントがハッキングされた事例が報じられました。またそれとは別のオリンピック関連事例として、トレンドマイクロでは大会関係者を狙ったものと考えられる不審メールの存在を、国内でも確認しています。
■大会関係者を狙う不審メール
トレンドマイクロでは様々な対応依頼を受けますが、その中で、オリンピック関連を偽装する不審な英文メールの存在を確認しました。この不審メールの件名は「Tokyo 2020 Letters for Federation/Official portal」であり、送信元アドレスは「tokyo2020.jp」の文字列を含むものでした。これは東京オリンピックの組織委員会のドメインである「tokyo2020.org」を偽装したものと考えられます。組織委を偽装する別の手口として本文末尾の署名は、東京オリンピック組織委員会CEOと国際オリンピック委員会(IOC)会長の連名となっており、実際のIOCの住所や電話番号が含まれていました。不審メールの本文は「IOCの公式サイトに登録し、大会関連の重要な情報を取得してください」という旨の内容で、不審サイトへの誘導を目的としたものと言えます。誘導先不審サイトのURLには「olympic」、「international」、「comitee」、「tokyo2020」などの文字列の組み合わせが含まれており、これも偽装を意図したものと言えます。
また、同内容の不審メールから誘導されるこれらの不審サイトについて異なる6つのドメインを特定しましたが、調査を行った2月中旬の時点ではすべてアクセス不可になっており、不審メールの目的は確認できませんでした。ただし、マイクロソフトのリサーチャーJohn Lambert氏の情報によれば、これらのドメインにはオリンピックシンボルを掲載したフィッシングサイトが存在していた模様です。
トレンドマイクロのクラウド型次世代セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計から、同内容の不審メールは1月25日から31日までの間に9通のみ存在が確認できました。これらのことから、不審メールは不特定多数を狙うばらまき型のものではなく、限定された範囲を標的として、オリンピックの公式サイトを偽装したフィッシングサイトにより、メールアドレスとパスワードの詐取を狙ったスピアフィッシングの攻撃であったと考えられます。
2016年に開催されたリオデジャネイロオリンピック以降、大会に参加する競技団体や運営に関係する組織の関係者を狙う標的型攻撃が明るみに出ており、トレンドマイクロでは特にサイバー攻撃者集団「Pawn Storm」による攻撃について報告しています。特に前回2018年の平昌冬季オリンピックの開会式直前に組織委員会のネットワークなどが侵害された事例では、ネットワーク構築に携わった企業経由での侵入が推測されており、東京大会についても一層の注意が必要です。
■オリンピック公式Twitterアカウントのハッキング
2月15日、複数のメディアがスポーツ関係のTwitterアカウントが「乗っ取られた」事例を報告しました。ハッキングを受けたのはオリンピックと有名サッカークラブの公式アカウントであり、乗っ取りによるものと思われるツイートが投稿されていました。このツイートの中で、犯人は自らを「OurMine」であると名乗っていました。OurMineは2016年ころから活動しているハッカー集団です。自身を企業のセキュリティ診断などを請け負う「善良なハッカー(ホワイトハットハッカー)」であると主張していますが、今回のようなハッキング事件を繰り返し起こしているため、一般にはホワイトハットハッカーとはみなされていません。
OurMineは、今回の乗っ取りによるツイート投稿を「サードパーティプラットホーム」経由で行ったと主張しています。この事例のように、Twitterアカウントを不正操作するためのハッキング手法は、2種が考えられます。1つは何らかの方法でアカウントとパスワードを入手し、不正ログインする方法。もう1つは、OurMineが主張しているような、Twitterアカウント と連携する「サードパーティプラットホーム」経由で不正操作する方法です。Twitterなどのソーシャルメディアでは、サードパーティのWebサイトやサービスと「連携」する機能を提供しています。これは「アプリ連携」などと呼ばれる機能で、投稿やエンゲージメント(リツイートや「いいね」など他の投稿へのアクション)、フォローなどといった、本来、アカウントの所有者しか行えない操作の権限を、別のサービスやアプリに与える仕組みです。正規のサービスがその機能を有効にするために連携を求める場合もありますが、中には本来必要のない権限までも要求する不審なものもあります。例えば、診断や判定、占い、または様々なトピックなどを読ませるサイトなどで、ツイートの送信や他のツイートへのエンゲージメント、他のアカウントのフォローといった権限を要求するものには注意が必要です。自分が知らない間に投稿やフォロー、「いいね」をしていた、という事例の多くでは、不審なサードパーティプラットホームに利用者本人が不用意に権限を与えてしまったことが原因と考えられます。
図:Twitterアカウントへの権限を求める表示の例
ツイート送信やエンゲージメント、フォローやアカウントのプロフィール変更などの権限を求めるものには特に注意が必要
オリンピックを目前に控え、日本を狙う攻撃は今後も増加するものと考えられます。法人組織に対する標的型メールの攻撃についてはサプライチェーンの弱点を狙う攻撃傾向の中で、オリンピックの運営に直接関係する組織や利用者だけでなく、関連する組織やその周辺の利用者なども狙われる可能性があります。また、ソーシャルメディアアカウントの乗っ取りについては、日本国内のソーシャルメディアアカウントである、というだけで愉快犯やハクティビズム、自己顕示目的などの攻撃者から攻撃対象とされる可能性もあります。オリンピックを他人事とせず、誰もが攻撃対象になりえると考えるべきです。
■被害に遭わないためには
法人組織においては、今回記事で紹介した巧妙な攻撃メールに注意し、添付ファイルや本文内のURLリンクを安易に開かないよう、注意してください。特に、今回記事で紹介したようなフィッシング攻撃により、クラウドメールのアカウントを詐取されると、メール自体を乗っ取られ、メール内容の盗み見や、なりすましの攻撃メールの踏み台になる可能性があります。またそもそも不審なメールをブロックし、利用者に届かないようにするフィルタリングの対策も重要です。
法人においても個人においても、ソーシャルメディアを利用している場合にはアカウントの認証情報の管理に注意してください。同時に、特に認証情報をだまし取ろうとする、フィッシングの手口に注意してください。
一般的なフィッシング詐欺にだまされないための注意点については以下のブログ記事にまとめておりますのでご参照ください。
「すぐ役立つ!フィッシング詐欺を見抜くためのポイントとは?」
また、ソーシャルメディアも含めた多くのクラウドサービスでは、二要素認証や二段階認証のような強化された認証方法を提供しています。これらの強化された認証方法を使用することで、アカウントとパスワードを取られた場合でも、より高いセキュリティレベルの実現のために強化された認証方法の使用を強く推奨します。また、複数のサービスで同じパスワードや類推可能なパスワードを使いまわすことは止めましょう。
ソーシャルメディアのアカウントを守るためには、連携を求めるアプリやWebページにも注意が必要です。例えば、Twitterの場合、ツイートの送信や他のツイートへのエンゲージメント、他のアカウントのフォロー、プロフィールの編集といった権限を要求された場合、安易に承認せず、その正当性を確認してください。