この警告は、データ盗難から企業を守るために、IT セキュリティと物理的セキュリティの両方に関する意識向上トレーニングが不可欠であることをCSOに示すものだ。
オンラインまたは電話によるITサポート詐欺は、長年にわたって従業員をマルウェアのダウンロードやクリックへと誘導してきた。しかしFBIによると、米国の法律事務所を標的とするあるグループが最近、直接訪問という手口で成果を上げているという。同グループは「ITサポート担当者」を装って建物への立ち入りを認めさせ、被害者のコンピュータにストレージデバイスを挿入してマルウェアをインストールしたりデータを窃取したりしている。
この事実は、FBIが今週公開したフラッシュレポートで明らかになったもので、同局が「サイレント・ランサム・グループ(SRG)」と呼ぶ犯罪組織の活動を説明している。他の研究者はこのグループをルナ・モス、チャッティー・スパイダー、UNC3753とも呼んでいる。
しかしサイバーセキュリティの専門家たちは、従業員が見知らぬ人物にコンピュータへのアクセスを許してしまうことをさほど意外に思っていない。
「何らかのUSBキーハッキングデバイスを持った攻撃者が現地に直接赴くという手口は、特に銀行業界において数十年前から使われてきた」と、KnowBe4でCISOアドバイザーを務めるロジャー・グライムズは述べる。
「多くの場合、単純なデータの直接窃取にとどまらず、USBストレージドライブを使ってパスワードの入力を監視したり、ハッカーが後から遠隔で侵入できるリモートアクセスソフトウェアをインストールしたり、その他のハッカー用マルウェアをインストールしたりする。銀行業界ではこの手口があまりにも一般的なため、物理的な攻撃者というシナリオを通常のペネトレーションテスト監査に取り入れているケースが多く、他のどの業界よりも対策が進んでいる。」
SANSインスティチュートで従業員向けサイバーセキュリティトレーニングのディレクターを務めるランス・スピッツナーは、感染したUSBドライブを使用するために企業に侵入する手口は新しいものではないが、比較的まれなケースだと述べた。脅威アクターがドライブを従業員に郵送する手口の方がより一般的だという。
「攻撃者が組織内に物理的に侵入するリスクを冒すことは、大半のサイバー攻撃者にとって許容できないものだ」と同氏は述べた。「FBIのレポートに記載されている詳細はかなり限られている。もしこれが実際に起きたとすれば、攻撃者が誰か別の人物——おそらく企業が信頼していた内部関係者や請負業者——に報酬を払って実行させたのではないかと推測する。」
FBIによると、SRGの攻撃者たちは少なくとも2022年からデータ窃取と恐喝活動を行っているという。その名称に反して、このグループはランサムウェアによる暗号化を使用せず、典型的には被害者のシステムへの迅速なアクセスを確保してデータを窃取する。その後、窃取したデータを公開または売却すると脅迫することで、身代金の支払いを要求する。
これまで同グループは、少額の「サブスクリプション料」を請求するとされるフィッシングメールを送信することで被害者のネットワークへのアクセスを確保してきた。偽のサブスクリプションをキャンセルするよう指示された被害者は、脅威アクターに電話するよう誘導され、その後リモートアクセスソフトウェアをダウンロードするリンクがメールで送られてくるという仕組みだ。
新たな手口
しかし今年の春以降、SRGの攻撃者は新たな手口を加えた。被害者企業のIT部門の従業員を装うというものだ。攻撃者は直接電話をかけるか、フィッシングメールを送ることで、SRGの攻撃者が自社のITサポートに扮した人物に連絡するよう従業員を誘導する。電話中、SRGの攻撃者は従業員にリモートデスクトップセッションへのアクセス許可を求める。
それが失敗した場合、SRGは脅威アクターを被害者の所在地に直接派遣し、コンピュータに物理的にアクセスしてストレージデバイスを挿入する。口実はこうだ。「ITサポート担当者」がデバイスのイメージ作成、またはフィッシングメールによる潜在的な影響に対処するためのバックアップファイルの作成を行う必要がある、というものだ。脅威アクターが被害者のデバイスへのアクセスを確保すると、最小限の権限昇格を行い、暗号化を使わずに迅速にデータ窃取へと移行する。
使用するツールには、WinSCP(Windows Secure Copy)や「Rclone」の隠蔽または名称変更版がデータ窃取に使われる。また、Google DriveやMicrosoft OneDriveなどの社内ファイル共有プラットフォームにデータを持ち出すこともある。そして企業のデータを入手すると、被害企業の従業員やクライアントに電話をかけて被害者に圧力をかけ、交渉を開始させようとする。
FBIは情報セキュリティの専門家に対し、SRG攻撃の兆候として以下の点に注意するよう警告している。Zoho Assist、Quick Assist、AnyDesk、RustDesk、Syncro、Splashtop、Ateraなどのシステム管理ツールやリモートアクセスツールの無断ダウンロード、社内コンピュータへの外部ハードドライブやUSBドライブの無断接続、Microsoft OneDrive、Google Drive、または外部サーバーへのデータ持ち出し、外部IPアドレスへのWinSCPまたはRcloneによる接続、そして社内環境からデータが持ち出されたというアラートなどが挙げられる。
従業員が特に注意するよう訓練すべき主な点は、ITサポートを名乗ってコンピュータへのアクセスを試みる未確認または無許可の人物の来訪、そして自社IT部門の関係者を偽る迷惑電話だ。
FBIは締め切りまでに、同グループが従業員を騙して直接訪問を許可させた件数に関する情報提供の依頼に応じなかった。ただし、SRGによるこの手口は比較的新しいため、FBIは恐喝メモのコピー、グループが使用した電話番号またはメールアカウント、脅威アクターとの通信記録、そしてITサポートを装った人物の監視カメラ映像や写真の提供を求めている。
セキュリティ意識向上トレーニングの課題
デスクトップコンピュータの時代が始まって以来、CSO、CIO、ITの責任者たちは、フィッシング、ITテクニカルサポート詐欺、その他のソーシャルエンジニアリング攻撃に対抗する効果的なセキュリティ意識向上トレーニングを見つけるために苦闘してきた。法執行機関はグループをオフラインにすることにある程度成功しているものの、彼らは別の形で再び現れる。
従業員が自社のITサポートスタッフが誰であるかを知らないことも、脅威アクターを有利にしている可能性がある。特に、企業がサードパーティの外部サポート会社を利用している場合はなおさらだ。
【関連コンテンツ: セキュリティ意識向上トレーニングの基礎知識】
カナダのサイバークライム・アナリティクス社の代表であり、著書『ソーシャルエンジニアリングによるサイバー犯罪』を著したクリストファー・カイザー氏はインタビューの中で、ITを名乗る人物から深刻な問題に関するメール、テキスト、ボイスメールが届いた場合、従業員はまず「これは本物だ」と思い込んでしまうことが多いと述べた。
その後、脅威アクターは従業員の「一見して緊急に見える問題に行動しなければならない」という心理、管理職への服従意識、あるいは役に立ちたいという気持ちにつけ込む。「私たちには信じようとする傾向がある」と同氏は述べた。
さらに、脅威アクターが成功した手口を他のグループと共有していることも問題を悪化させていると同氏は付け加えた。また、一部の組織ではセキュリティ意識向上トレーニングが上層部(CEO)や現場の最前線(受付担当者)にまで行き届いていないことも問題だと述べた。
誰も信頼するな
ITサポート詐欺に対抗するために、カイザー氏は次のように述べる。ITからのものと称するメール、テキスト、ボイスメールで何らかのアクションを求めるものはすべて、メッセージへの返信や不審な通信に記載された電話番号への発信ではなく、承認されたプロセスを通じてITマネージャーに確認して検証するよう従業員を訓練する必要がある。また、パスワード、多要素認証コード、個人情報を求めるメール、テキスト、ボイスメールに対して素早く返答したり行動したりしないよう、従業員を訓練することも必要だ。
スピッツナー氏はこう付け加えた。「セキュリティ意識向上トレーニングは、人間の脆弱性にパッチを当てるアプローチの一つだ。感染または信頼できないUSBドライブのリスクと、使用が許可されているドライブについて従業員に教育する必要がある。今回のケースでは、信頼されていない人物が被害者の施設へのアクセスを取得したことが問題だった可能性がある。」
Swimlaneでリードセキュリティ自動化アーキテクトを務めるニック・タウゼク氏は、サイレント・ランサム・グループが信頼を利用した攻撃戦略を用いていることは、恐喝がどのような方向に向かっているかを如実に示していると述べた。「このことが法律事務所にとって特に危険な理由だ」と同氏は言う。「そのような環境には、機密性の高いクライアント記録、特権的なコミュニケーション、財務の詳細、そして事件情報が含まれている。そのデータが盗まれた場合、被害は被害組織だけにとどまらない。クライアントが圧力をかけられ、法的戦略が露呈し、従業員が後続詐欺の標的になりかねない。」
最も困難な点は、こうした活動の多くが一見すると正常に見えることだと同氏は述べた。脅威アクターが使用する正規ツールは常にアラームを発するわけではないため、セキュリティチームはユーザー、デバイス、クラウドストレージ、リモートアクセスセッション全体にわたる不審な行動をより迅速に関連付ける方法が必要だ。「攻撃者がこれほど素早く動いている場合、検知が遅れると彼らに優位性を与えることになる」と同氏は述べた。
グライムズ氏は、対策として物理的攻撃に関する定期的かつ頻繁な従業員教育、公共の場に置かれたコンピュータのUSBポートの無効化、そして物理ストレージデバイスの接続を防ぐその他の緩和策を挙げた。同氏は、Microsoft Windowsには10年以上前からUSBスティックを含む未許可のストレージデバイスの挿入を防ぐ緩和策が備わっていると指摘した。
さらにFBIは、企業スペースにアクセスするすべての人物の資格情報を確認し、各訪問者のIDカードのコピーを取得すること、自宅のコンピュータや公共インターネットなどセキュリティが低いネットワークから機密データへのアクセスを制限すること、そしてITサポートが従業員にどのようにコミュニケーションを取り、本人確認を行うかに関する方針を策定して周知することを、物理的セキュリティおよびITセキュリティの責任者に強く促している。
