GmailやYahoo!メールの2段階認証を無効化するフィッシング詐欺が横行している

by pixelcreatures

イラン政府とつながりのあるハッカー集団が、ターゲットの情報を収集し、ターゲットのセキュリティレベルに合わせたスピアフィッシングのメールを作成していると、セキュリティー企業「Certfa」の研究者らがブログで報告しています。ハッカーたちはリアルタイムでターゲットの様子を見ることができるため、2段階認証が無効化されているとのこと。

The Return of The Charming Kitten - Certfa Blog
https://blog.certfa.com/posts/the-return-of-the-charming-kitten/

Iranian phishers bypass 2fa protections offered by Yahoo Mail and Gmail | Ars Technica
https://arstechnica.com/information-technology/2018/12/iranian-phishers-bypass-2fa-protections-offered-by-yahoo-mail-and-gmail/

研究者によると、アタッカーが送ったメールには画像が隠されていて、それを利用することでアタッカーはリアルタイムでターゲットがメールを見ているかどうかをチェック可能とのこと。ターゲットがGmailやYahoo!を装った偽のセキュリティーページを開きパスワードを入力すると、アタッカーは即座にその情報を本物のログインページに入力します。ターゲットのアカウントが2段階認証を採用していた場合、アタッカーはターゲットのウェブページからワンタイムパスワードを必要とする新しいページにリダイレクトさせますが、ターゲットの行動はリアルタイムでチェックできるため、この情報もまた盗むことが可能になるわけです。

Certfaの研究者は、この技術によりSMSベースの2段階認証が突破できることを確認しています。Google Authenticatorといったアプリを使っても同様に突破されるのかは確認されていませんが、技術的には「Google Authenticatorなどのアプリであれば攻撃が失敗する」と言える理由はほぼないとのこと。

アタッカーの攻撃を回避できると考えられる方法は、業界標準のセキュリティーキーを使った2段階認証を用いること。GoogleアカウントはUSBセキュリティキー「FIDO U2F Security Key」でも機能しますが、このようなUSB経由、あるいはBluetooth、NFCで接続するタイプのセキュリティーキーであれば攻撃を回避できるとみられています。事実、Googleは従業員の認証ツールとしてYubico製の2段階認証用セキュリティキー「YubiKey」を導入しています。

このほか、Googleは政府関係者やジャーナリスト、企業など、ハッカーの攻撃対象となりやすい人々に対し最強レベルのセキュリティ保護を提供する「高度な保護機能プログラム」を2017年からスタートしています。しかし、一般の人の多くは通常の2段階認証を行っているのが現状であるため、一般ユーザーに対して「疑いの目」を向ける訓練の必要性が叫ばれています。

Certfaによると、アタッカーたちは2段階認証を突破するフィッシング詐欺についてだけでなく、「[email protected]」や「[email protected]」といった公式とのつながりを感じさせるメールアドレスを使ったフィッシング詐欺、ターゲットが使用しているサービスに合わせた20のドメインを駆使したフィッシング詐欺なども行っているといいます。

Certfaは、フィッシング詐欺に使われていたドメインやIPアドレスが「Charming Kitten」と呼ばれるイラン政府と関係したハッカー集団とつながっていると確認しました。直近の攻撃はアメリカがイラン制裁を再開した2018年11月の数週間前に起こったとのこと。攻撃のターゲットは制裁に関係する個人や政治家、市民権・人権の活動家、ジャーナリストなどで、AP通信によれば核交渉に関わった幹部やアラブの原子科学者、イランのシビル・ソサエティ、ワシントンのシンクタンク従業員、アメリカの財務省職員などが含まれたそうです。