Malwarebytesは6月23日(米国時間)、「Gmail's multi-factor authentication bypassed by hackers to pull off targeted attacks|Malwarebytes」において、ロシアの脅威アクターがGmailの多要素認証(MFA: Multi-Factor Authentication)を回避して標的型攻撃を実行したと報じた。

  • Gmail's multi-factor authentication bypassed by hackers to pull off targeted attacks|Malwarebytes

    Gmail's multi-factor authentication bypassed by hackers to pull off targeted attacks|Malwarebytes

サイバー攻撃は信頼関係の構築から

この攻撃については、Google脅威インテリジェンスグループ(GTIG: Google Threat Intelligence Group)が詳細なレポートを公開している(参考:「What’s in an ASP? Creative Phishing Attack on Prominent Academics and Critics of Russia | Google Cloud Blog」)。

レポートによると、脅威アクターはロシアに批判的な意見を持つ学者などを標的とし、綿密に計画された信頼関係の構築後にアプリ固有のパスワード(ASP: Application Specific Passwords)を設定させることで攻撃に成功したという。ASPを共有すると、脅威アクターはメールボックス(Gmail)への永続的なアクセスを獲得することができる。

信頼関係の構築には国務省が悪用されたとのこと。脅威アクターはメールで連絡を取る際に、カーボンコピー(CC: Carbon Copy)に偽の国務省のメールアドレスを追加して正当性を高めたと見られる。

国務省の関与があると安心した被害者は脅威アクターとのやりとりを開始。信頼関係を築いたところで国務省をテーマにするカスタマイズされたPDFファイルを受け取っている。PDFファイルには国務省のクラウド環境にアクセスする偽の手順が記載されており、手順に従った被害者はアプリ固有のパスワードを脅威アクターに送信したという。

対策

Malwarebytesは、この攻撃手法が公開されたことで同様の攻撃が増加すると予想し、Googleアカウントを所有するユーザーに対して次の対策の実施を推奨している。

  • アプリ固有のパスワード(ASP)のリスクを理解して、使用は最小限に留める。他に代替方法がある場合はそちらを使用する
  • 多要素認証(MFA)の重要性に変わりはないが過信は禁物。よりよい方式(Google Authenticator、FIDO2など)の採用を検討する
  • フィッシング攻撃に関する従業員教育を定期的に行う。脅威アクターは新しい手法を開発し、パスワードや多要素認証を回避することがある
  • Googleアカウントのログイン履歴に気を配る。見慣れない場所やデバイスからのログインなど、不審な活動に注意する
  • 使用しているすべてのソフトウェアを最新の状態に維持する。可能な場合は自動アップデートを有効にする

Googleは同様の攻撃への備えとして、高度な​保護機能プログラム(APP: Advanced Protection Program)を提供している。APPを使用すると厳格なセキュリティ要件が適用され、ASPの作成を防止できるとしている。標的型攻撃や深刻な脅威にさらされているユーザーには、検討が望まれている。