LinkedIn の求人掲載と Skype の音声通話を悪用したソーシャルエンジニアリング

先週、チリの上院議員 Felipe Harboe 氏は、Redbanc がサイバー攻撃を受けたというツイートをしました。Redbanc はチリの ATM の銀行間ネットワークを管理運営している企業で、12 月末に深刻なサイバー攻撃を受けました。

その 2 日後、地元のニュースサイトが詳細な記事を掲載する少し前に、Redbanc は攻撃を受けたことを認める声明を出しました。この声明は、同社のネットワークに影響はなく、正常に機能し続けたという内容で、それ以外のことについてはほとんど触れられていません。

(引用文日本語訳) 今回の攻撃による業務への影響は一切なく、弊社サービスは円滑に継続されています。弊社は制定した手続きに従い、透明性の確保と協力の精神に基づいて、様々な事業者および当局に最新情報を提供し続けました。

今回のサイバー攻撃は、いくつかの理由から注目を集めました。

1 つ目の理由は、標的になったのがチリ国内全体の ATM ネットワークを管理運用する会社だったことです。

ATM ネットワークが攻撃者にとって魅力的な標的であるというだけでなく、昨年 6 月に Banco de Chile (チリ銀行) が大規模なランサムウェア攻撃を受けたばかりです。

2 つ目の理由は、攻撃の数日後にセキュリティ会社の Flashpoint が行った発表です。Flashpoint は、Redbanc への攻撃に使われたマルウェアが北朝鮮の Lazarus グループと関連のあるプラットフォーム PowerRatankba だと思われると発表しました。

近年は攻撃者の特定に大きな注目が集まり、攻撃の具体的な内容が報じられなくなっています。

今回の攻撃について

攻撃方法について、チリのニュースサイトが報道しています。このサイトによると、攻撃のきっかけは LinkedIn に掲載された開発者募集の広告に Redbanc の従業員が返信したことでした。

Skype で行われた面接の中で、Redbanc の従業員は Web リンク経由で送信された ApplicationPDF.exe というファイルをダウンロードするように誘導され、従業員のコンピュータがウイルスに感染しました。

その後の攻撃方法については、Flashpoint がマルウェアを分析した結果、次のような技術的な詳細が明らかになっています。

マルウェアは意図した通りに実行され、攻撃者は新たなセキュリティ上の欠陥を見つけるためにネットワークを探索することができました。しかし、ある時点でこの動きが検出され、ブロックされました。

問題は、銀行インフラの重要な業務を担っている会社が、攻撃者と 1 回 Skype 通話をしただけでネットワークへの侵入を許してしまったという点です。

これはどのタイプのソーシャルエンジニアリングに分類されるのでしょうか。

電子メールを使った手口であれば、この従業員も騙されなかったかもしれません。なぜなら、ソーシャルエンジニアリング攻撃の実行者が最初に狙うのが電子メールの受信トレイであることは、誰でも知っているからです。

事実、フィッシング攻撃やソーシャルエンジニアリング攻撃を行うサイバー犯罪者は、どのような隙間も見逃さず侵入しようとします。重要なのは攻撃の経路ではなく、標的ユーザーに何をさせようとするかです。今回の標的ユーザーは、ファイルをダウンロードして開くように指示されていました。

このような事件を受けて、従業員にソーシャルメディアの使用やファイルのダウンロードを禁止すること以外にも、企業にできることは数多くあります。

たとえば、社内でペネトレーションテストを実施して、攻撃者より先にソーシャルエンジニアリングに対して脆弱な部分を発見します。

もう 1 つは、従業員がやり取りしている相手からファイルを受け取る前に、その相手の認証を行わせます。この単純なステップを踏むだけで、攻撃者との通信チャネルが開かれる前の段階で、多くの攻撃者を阻止することができます。

何よりも、このような攻撃はいつ発生してもおかしくなく、簡単に実行できるということを従業員に教育する必要があります。ソフォスの PhishThreat などのツールを使用して、フィッシング攻撃や標的型攻撃の兆候を発見するトレーニングを実施してください。