サイバーリスク：リモートワークで使用するクラウドサービスも標的に

狙われるクラウドサービス

欧州各都市で外出制限が始まって早一年。この一年間での私たちのIT依存度の高さとそれに伴うリモートワークの推進は、これまでの五年間、いや十年間をも上回るくらい急激な変化をもたらしたのではないだろうか。
このリモートワークに必要不可欠な要素の一つが、クラウドサービスである。クラウドサービスの存在がリモートからの情報や意見の共有、コラボレーションを支えてくれている。

そして、クラウドサービスの利用者が増えれば、悪意ある者たちは当然のようにクラウドサービスを狙ったサイバー攻撃を仕掛けてくる。

2021年1月には米国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁（CISA）より、注意喚起を促す報告書^*1が公表された。この報告書では、特定の悪意ある者に結び付けた事例が紹介されているわけではないが、多くの場面で同じような手法が用いられているという特徴がある。

例えば、乗っ取ったアカウントを用いて社内の別のユーザに対してフィッシング詐欺を仕掛けるという手口があるが、その前にまずはファイル共有サービスなどにもアクセスしそれ以外の情報にも不正アクセスされてしまっている。また、従業員がリモートワークでアクセスするように設定されているサーバに対して、悪意ある者が不正アクセスを試みるといった事例も多く見られている。

これらのサイバー攻撃は広範囲に対して行われていることから、今回政府機関より注意喚起を促す報告書が公表されることとなった。

第二の標的

CISAが確認したサイバー攻撃の中には、フィッシング詐欺も多く発生している。

フィッシング詐欺行為では、クラウドサービスの資格情報（ログインするためのユーザIDとパスワードなど）を収集するために、悪意あるリンクを含んだフィッシングメールを用いている。この悪意あるリンクは一見すると安全なメッセージを装っており、またファイル共有サービスなどのログイン画面のように見えるメール文章などもある。

万が一、標的となってしまったユーザがここに資格情報を入力してしまうと、悪意ある者は、盗みだすことに成功した資格情報を用いてクラウドサービスへのログインを試みる。なかには、被害に遭った企業が存在するのとは異なる国からログインを試みている場合もあるが、これは悪意ある者たちが自らの所在を偽装するために行なっている可能性もあるため、必ずしも悪意ある者の所在地とは一致しない。

クラウドサービスへの不正アクセスに成功すると、悪意ある者たちは次に、被害に遭った企業や組織内の他のアカウントに対してメールを送り始める。この時、既に盗み出された資格情報を用いて本物のメールアドレスから送られた偽物のメールであるため、受け取った第二の標的がそれを見抜くことは一段と難しくなる。

また、最近ではログインの際にパスワードだけでなく携帯電話のテキストメッセージやトークンなどを用いた複数方法で認証を行う多要素認証（MFA）を用いてセキュリティを高めている企業も多い。

しかし残念ながらMFAを用いていた企業であっても、このような被害に遭っている企業をCISAでは確認している。ここでは詳細な手口の説明は割愛するが、おそらくpass-the-cookie攻撃^*2という手法を用いてMFAによるセキュリティを回避し、不正アクセスを成功させたのではないだろうか。

標準機能の悪用

最近では個人所有のスマホなどを直接業務に活用できる場面も増えてきたが、仕事用のメールを携帯メールなどに転送設定し、出先などからでも見られるようにされている方は多いのではないだろうか。 この転送設定を変更してしまい、機密情報を盗み出すといった手口もある。

転送設定を悪用することで標的のもとに届いたメールの全てが、悪意ある者の持つメールへと転送されるように設定されるといった被害も発生している。

また全てのメールを転送してしまうと悪意ある者も大変なので、いくつかの財務関連キーワードが含まれていた場合にのみ転送するよう設定するといった手口も取られている。この場合、抽出するキーワードにはスペルミスなども含めておくことで、より精度高く目的のメールを取得しようとしている。

更には、フィッシング詐欺のメールで警告が表示されてしまわないように、特定のフィッシング関連キーワードを含む場合でもメールが届くように細工してしまう場合もある。あらかじめ用意されている標準機能を悪用されてしまうこともあるのだ。

迅速かつ効率的に対応するには

これらのように普段私たちが活用しているクラウドサービスを、ちょっとした工夫で乗っ取り、更にちょっとした工夫でより多くを得ることに悪意ある者たちは成功している。
CISAの報告書では推奨している対応方法について21項目紹介しているので、最後にここから三つほど取り上げて紹介したい。

まず、前述したメール転送の悪用による情報の窃取を防ぐためにも、メール転送ルールやアラートの設定が自ら設定したものから変更されていないか定期的に確認すること。また、転送そのものを制限する設定に変更するといったことを推奨している。

また、リモート・デスクトップ・プロトコル（RDP）を狙った攻撃が急増したことについては、前回のニュースレター（サイバーリスクFish & Tips：サイバーリスクと向き合う上で大事なこと）にて述べた。 クラウドに立ち上げた仮想マシン・インスタンス（クラウド上に立ち上げた仮想のサーバのようなものとイメージしていただきたい）で、RDPに不特定多数がアクセスできるような状態となっているものが無いか今一度確認することを推奨している。

そして、これは全ての企業や組織に対して言えることであるが、何らかの問題を発生させてしまった場合にも、従業員が非難されることなく報告できる環境を確立すること。また、不審な動作に気付いた場合やサイバー攻撃の被害に遭ったと思われる場合には、誰に連絡を取れば良いかを明確にすること。このことによって、適切な対策・対応を迅速かつ効率的にとっていけると推奨している。

この報告書ではここで紹介した対応方法以外にも、Microsoft 365 を利用している企業に向けたアドバイスなどもあるため、業務でクラウドサービスを活用されている方には是非とも一読されたい。

出典

^*1 https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a

^*2 https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/