#TwitterHack: 権限と特権とパンデミック

記事をシェアする:

2020年7月15日水曜日、Twitterの世界では衝撃が走りました。Twitter社自体が「コーディネートされたソーシャル・エンジニアリング攻撃」と表現したサイバー攻撃を東部標準時午後4時頃から受けたためです。この攻撃の結果は、ジェフ・ベゾス、イーロン・マスク、ビル・ゲイツ、バラク・オバマ元大統領、ジョー・バイデン、ウーバーなど、多くの著名な人々や企業のTwitterアカウントの乗っ取りでした。悪意のある攻撃者はこれらのアカウントで、「2倍の金額を返すから」と複数のビットコイン・アドレス宛に送金を促す内容をツイートし、一部のフォロワーを騙しました。

インサイダーの脅威が潜む

Twitter社は、これはソーシャル・エンジニアリング攻撃によるものとしましたが、この用語をいくつかの観点から見てみましょう。Twitter社だけでなくすべての組織が、一般的に、4種類のインサイダー脅威に直面する可能性があります。

まず、自分のシステムへのアクセス権を利用して攻撃を計画し、組織に危害を加えようとする悪意のある内部関係者がいます。 2番目のタイプのインサイダー脅威は、自分のアクセス権を使用して、損害を引き起こす悪意のある活動に関与はするが、計画に積極的には関与していない可能性がある共犯インサイダーです。銀行の警備員がアラームを無効にしておいたり、金庫を開けて悪者が現金を手に入れられるようにするようなものです。

次に、ソーシャル・エンジニアリング攻撃、マルウェア、その他の手法を問わず、攻撃者へのアクセスを騙されて提供してしまう「騙されたインサイダー」がいます。悪意のあるハッカーはオープンソース・インテリジェンス（OSINT）の収集を頻繁に行い、非常に慎重にターゲットを選択し、ソーシャル・ネットワークやその他の情報ソースを精査してターゲットを落としにかかります。

最後に、上記のカテゴリにうまく適合しないインサイダーの脅威もありますが、それでも従業員または請負業者のアクセス権を使用して危害を加えようとすることが原因です。たとえば、悪意のある攻撃者が組織のネットワークのポートに接続して、大混乱を引き起こそうとする場合があります。

大きな権限で…

Twitter社によると、これはコーディネートされたソーシャル・エンジニアリング攻撃だとされていますが、攻撃者が誰であり、どのようにして侵害が行われたかを特定するための調査がまだ行われています。ただし、問いかけるべき大きな問題で、すべての組織が自問する必要があるのは、なぜこのレベルのアクセス権とユーザー・アカウントへのアクセス許可がそもそも存在するのかということです。Twitter社の従業員が、ユーザー・アカウント、特にカニエ・ウェストのような認証済みのアカウントで投稿するためのアクセス権と機能が必要なのはなぜでしょうか？このレベルのアクセス権が存在しなかった場合には、この種の攻撃は実施可能ではなかった可能性があります。

さらに、悪意のあるハッカーは、ユーザーに通知を送信することなく、Twitter社の管理者ツールを使用して任意のTwitterアカウントのメールアドレスを変更できたようです。Twitterの管理者があるアカウントの電子メールアドレスを変更するための機能を必要とする理由は理解できますが、Xの数の電子メールアドレスがYの時間内に変更されると、ユーザーの振る舞いを検知したセキュリティー警告があるべきではなかったでしょうか？さらに前に進むには、より厳格なセキュリティー管理のために、1日あたり管理者ごとにわずか数アカウントの変更のみといった厳格な制限を設定することは理にかなっています。

リモートワークの危険－猫がキーボードにジャンプしてくるよりもずっと

さらに深刻な問題は、COVID-19のパンデミックによって多くの組織ではリモートワークを拡大していて、それがセキュリティー管理の緩和の役割を果たしているかもしれないということです。多くの管理者、従業員、請負業者がオフィスを離れて自宅から働くため、組織はリモートアクセスに対応するために急な方針転換を強いられており、そこで新しい脆弱性が発生している可能性があります。最高情報セキュリティー責任者（CISO）とサイバーセキュリティー・チームは、バーチャル・オフィスを有効にするために緩和した可能性のあるコントロール事項を再評価する必要があります。

ことわざのような教訓

1週間前に、誰かがこのTwitterへの攻撃で繰り広げられたイベントを描いた映画の台本を持ってあなたのところに来たとしたら、それが現実的かどうかをすぐに疑ったでしょう。知名度の高いアカウント乗っ取りの大胆さ、そのような攻撃を阻止するための多くの障壁、そして発生した可能性のある損害と破壊の可能性のあった範囲のことを考えると、結果はそれほどまでには悪くなかったことに感謝できるかもしれません。

暗号通貨取引の記録によると、攻撃者は約118,000米ドルを獲得することができました。これは、ほとんどの専門家の考えでは、このような大きなデータ侵害では軽微な被害です。我々は皆、市場や公共の安全などに与える可能性があった影響を想像することができます。送金規模はアマチュア的でしたが、この乗っ取り自体がすべての組織にとっての目覚めの呼びかけとなります。

（比較的）低コストな学習体験

今回の攻撃から学べることはたくさんあります。どのような組織においても、同様のインサイダー脅威からのデータ侵害を防ぐのに役立ちます。

• 敵対的な攻撃シミュレーションとコントロールのチューニングをできるだけ早く実施しましょう。少し前に実施したという場合でも、ニューノーマルの世界で状況は変化しているため、これらの変化による影響を評価することができます。このTwitter攻撃の翌日、多国籍大企業のCISOは冗談めかして、「ビル・ゲイツ氏がこのシミュレーションとチューニングに必要な予算に資金を提供したことに興奮している」と述べました。（前述のように、ビル・ゲイツ氏のTwitterアカウントは、多くの侵害されたものの1つでした）
• 従業員と請負業者の想定される行動をモデル化し、異常と考えられる活動に対するユーザー行動アラートを設定します
• 従業員と請負業者のアクセス権レベルを確認し、本当に業務に必要な権限レベルなのかを徹底的に問いかけます
• COVID-19のパンデミックによるリモートワーク拡大に対応した、セキュリティー・コントロールの緩和内容を改めて評価します
• 従業員と請負業者に2要素認証を有効にし、長くて複雑な形式のパスワードに定期的に変更してもらいます
• 疑わしい活動をセキュリティー・チームに適切に報告する方法をユーザーに周知します
• 継続的なサイバーセキュリティー意識向上トレーニングとテストを実施して、トレーニング参加を記録します
• 機密情報のやり取りには、仕事で承認され暗号化されたプラットフォームのみを使用してください。デリケートな会話にソーシャル・メディアのチャットを使用しないでください

攻撃者の技法で脆弱性を評価する X-Force Red のサービスについてはこちらをご覧ください

【著者情報】

Charles Henderson

Charles Henderson は、IBM X-Force Redのグローバルのリーダーです。ネットワーク、アプリケーション、物理デバイスの侵入テスト、および脆弱性の研究に特化した経歴を持っています。X-Force Red のお客様は、Fotuneのリストにあるような企業から、セキュリティー体制の改善に関心のある中小規模の企業まで多岐にわたります。情報セキュリティー・コミュニティーの熱心なメンバーでもあり、その他さまざまなイベントでのスピーカーを務め、メディアにも出演しています。

この記事は次の記事の抄訳です。
#TwitterHack: Power, Privilege and Pandemic (英語)