出典:SOPA Images Limited(Alamy Stock Photos経由)
LastPass、Bitwarden、1Passwordなど、主要なパスワードマネージャーが最近のフィッシング攻撃の多発においてなりすましの標的となっており、企業ユーザーは注意が必要です。3週間の間に、これらすべてが、脅威アクターによるなりすまし攻撃に直面しており、ユーザーからマスターパスワード、ひいては大量の機密認証情報をだまし取ろうとしています。
パスワード管理ベンダーは、長年ハッカーにとってなりすましの標的として人気のブランドです。それも当然です。ユーザーはパスワードマネージャーに絶対的な信頼を持つ必要があります。結局のところ、全アカウントの認証情報を、完全に信頼できないアプリに保存する人はいません。フィッシャーはその信頼を悪用しようとします。
パスワードマネージャーは1つのマスターパスワードで保護されているため、パスワードリセット詐欺——「あなたのパスワードが侵害されました。こちらをクリックしてリセットしてください」——は、他のリスクが低いケースよりも恐怖や緊急性を煽る可能性があります(ただし、ユーザーが自分のマネージャーの基本的な仕組み、つまりマスターパスワードがそもそもオンラインに保存されないことを理解していれば別です)。そしてもちろん、攻撃者がその1つのマスターパスワードを手に入れれば、ユーザーの全オンラインアカウントや、アクセス権を持つ大規模な企業システムにも侵入できてしまいます。
偶然か、あるいは増加傾向を反映しているのか、パスワードマネージャーを狙ったフィッシング攻撃がこの10月は例年以上に多発していると、サイバー研究者らは警告しています。
偽1Passwordメールがマスターパスワードを狙う
今年初め、脅威アクターは1Passwordを標的にしたパスワードリセットフィッシングキャンペーンを展開しました。9月25日、詐欺研究者のブレット・クリステンセン氏が同様の新たな詐欺を明らかにしました。
これらのメールは定番のフォーマットで、ユーザーに「あなたのマスターパスワードが侵害された可能性がある」と通知します。セキュリティのためパスワードをリセットするよう指示し、リンク先でメールアドレス、アカウントに紐づくシークレットキー、マスターパスワード、そして新しいパスワードを入力させます。これだけでハッカーは1Passwordに被害者としてログインし、全オンラインアカウントの認証情報を盗むことができます。
10月2日、Malwarebytesの経営幹部が、クリステンセン氏が説明したものと非常によく似ているが、まったく同じではないメールを受け取りました。Malwarebytesのシニアインテリジェンスリサーチャー、ピーテル・アーンツ氏は「この攻撃は多くの点で同じ脅威アクターによるものと思われるが、全く同じキャンペーンではなかった」と振り返ります。メールの要旨は同じですが、今回は1Passwordの機能「Watchtower」(保存済みパスワードの脆弱性や漏洩をスキャンする機能)に言及していました。
幸いにも、このメールは企業幹部を標的にしていましたが、実際に1Passwordを利用していない人物だったため、被害の可能性は大幅に低減されました。また、送信者ドメイン(「@eightninety.com」)や、翌日に閉鎖されたフィッシングサイトなど、1Passwordからのメールではないことを示す様々な兆候もありました。
怪しいLastPass&Bitwardenメール
10月13日、LastPassはユーザーに対し、異なる手口のフィッシングキャンペーンについて警告しました。
このケースでは、LastPassになりすましたハッカーが、同社がハッキングされたと被害者に伝えました。ソフトウェアの実際の仕組みを独自に解釈し、「攻撃者が古い.exeインストールの脆弱性を悪用し、特定条件下でキャッシュされた保管庫データへの不正アクセスが可能になる」と説明。さらに「念のため」LastPassが新しい安全なデスクトップアプリをリリースしたので、ユーザーは(フィッシングリンクを通じて)ダウンロードできると案内しました。
LastPassは、このメールが祝日(先住民の日/コロンブス・デー)の週末に集中して送信されていたことを指摘しており、これはハッカーがセキュリティ対応の遅延を狙った意図的な行動だった可能性があります。
BleepingComputerの従業員は、同じ脅威アクターがLastPassの競合であるBitwardenのユーザーも標的にしていることを発見しました。LastPassのセキュリティ通知の翌日、記者がBitwardenからのものとされる、ほぼ同様の内容のメールを受け取りました。
両方のメールは、ITチームやマネージドサービスプロバイダー(MSP)向けの正規ソフトウェア「Syncro」をダウンロードさせるものでした。BleepingComputerの分析によると、このプログラムは被害者のシステムトレイ上でアイコンを非表示にするよう改変されており、詐欺が気づかれにくくなっていました。Syncroの攻撃チェーン上での唯一の目的は、別のリモート監視・管理(RMM)ツール「ScreenConnect」を展開することで、攻撃者が被害者のマシンを遠隔操作できるようにすることでした。
奇妙なことに、1Passwordのキャンペーンとは異なり、攻撃者がマルウェア配布のカモフラージュとしてパスワードマネージャーを使う必然性は特にありませんでした。フィッシングの過程でマスターパスワードが抜き取られることもありませんでした。
マスターパスワードを失った場合のプランB
もちろん、サイバー攻撃者はRMMを使って様々な方法で認証情報を取得しようとする可能性があり、パスワード保管庫への侵入も試みるかもしれません。しかし、パスワードマネージャーは完全に静的なものではなく、設定次第ではマスターパスワードだけで完全に破られるわけではありません。
「LastPassは、攻撃者が有効な顧客認証情報を入手した場合でも、認証プロセスに障壁を設けて攻撃を阻止する構成を提供しています」と、LastPassの脅威インテリジェンス・緩和・エスカレーション(TIME)チームのディレクター、アレックス・コックス氏は述べます。従業員はパスキーやハードウェアトークンなど、さまざまな多要素認証(MFA)保護を利用でき、アプリのアラートで未認識の場所からのアカウントログインをブロックすることも可能です。
企業によって最適なプランBは異なる場合があるため、コックス氏は「お客様には、自社の脅威環境に最も適した項目を有効化することを推奨しています」と述べています。
