「ジングル・シーフ」小売業界のサイバー脅威を浮き彫りに

出典：Point designz / Shutterstock

モロッコ拠点のサイバー犯罪グループによる大規模なギフトカード詐欺キャンペーンは、今年の繁忙期に小売業者が直面する可能性のある脅威の一端を早くも示しています。

「ジングル・シーフ」と名付けられたこの作戦は、主にクラウドベースのインフラに大きく依存する世界的な小売業者や消費者サービス組織を標的としています。Palo Alto NetworksのUnit 42の研究者によると、特に懸念されるのは、攻撃者が初期アクセスを得た後、被害者のネットワーク内に数か月間も気付かれずに潜伏し続ける能力です。

ジングル・シーフの攻撃者はクラウド環境を標的

「この間に、攻撃者は環境について深く把握し、重要なインフラへのアクセス方法も理解します。そのため、検知や対処が特に困難になります」とUnit 42の研究者は最近のブログ投稿で警告しています。マルウェアやエンドポイントの悪用に依存するキャンペーンとは異なり、ジングル・シーフの攻撃者はほぼ完全にクラウド環境内で活動し、盗んだ認証情報を使って正規ユーザーになりすまし、ギフトカード発行システムを操作し、高額なカードをグレーマーケットで転売しています。

Unit 42が観測したある侵害では、攻撃者は世界的な企業の内部に10か月間も発見されずに潜伏し、60以上の従業員アカウントを侵害しました。その際、標準的なMicrosoft 365ツールを使って正規ユーザーになりすまし、通常の業務を装っていました。

典型的なジングル・シーフ攻撃は、ターゲット組織のMicrosoft 365認証情報を収集するためにカスタマイズされたフィッシングやスミッシングから始まります。攻撃者は盗んだ認証情報を使って被害者のクラウド環境にアクセスし、SharePointサイトやOneDriveフォルダを検索して、ギフトカードのワークフロー、チケッティングシステム、VPN構成、カード発行手順などの内部文書を探します。

攻撃者が必要な情報を入手すると、内部フィッシングキャンペーン（信頼できる同僚からのメールやIT・ServiceNow通知を装ったメールなど）を使って、より高い権限を持つアカウントの認証情報を集める傾向があります。長期的な潜伏のため、攻撃者はMicrosoftのEntra IDプラットフォームの正規セルフサービス機能を悪用し、不正な認証アプリを登録したり、攻撃者が管理するデバイスを登録したりしています。「これらの戦術により、パスワードがリセットされたりセッションが無効化された後も、アクセスを維持できていました」とUnit 42は指摘しています。

保護の不十分さ

攻撃を助長し、成功に寄与している要因の一つは、ギフトカードシステムが十分に保護されておらず、社内で広くアクセス可能であることです。このため、適切な認証情報を持つ脅威アクターがほとんど痕跡を残さずにギフトカードを発行・盗難できる、アイデンティティベースの攻撃の格好の標的となっています、とUnit 42の研究者は述べています。

ジングル・シーフキャンペーンは、今年小売業界を標的とした攻撃が増加していることの一例に過ぎません。Scattered Spiderは、志を同じくする英語話者のハッカーによる緩やかな連携組織で、最近では英国のHarrods、M&S、Co-opなどの企業や複数の米国小売業者への大規模攻撃で注目を集めています。これまでにも、POSマルウェアや標的型フィッシングで小売業者を攻撃することで知られる金銭目的のFIN8や、ECサイトから決済カード情報をスキミングすることに特化した運営者集団であるMagecartなど、他にも多数の攻撃者が存在しています。

今年初めにVikingCloudが実施した調査によると、小売業者の80％が過去12か月間にサイバー攻撃を経験していました。50％以上が攻撃への脆弱性が高まっていると報告しており、人員不足や従業員へのサイバーセキュリティ教育の不足が大きな課題となっています。

小売業界が標的に

「小売業は常に標的にされてきました。なぜなら、取引量の多さ、デジタル領域の広がり、魅力的な収益化経路という3つの攻撃者の動機が交差する場所だからです」とSocRadarの最高情報セキュリティ責任者（CISO）、Ensar Seker氏は述べています。ジングル・シーフのようなキャンペーンは、小売業界への攻撃が単なるデータ窃盗からリアルタイムの詐欺へと進化していることを浮き彫りにしています。

「攻撃者は静的な情報を盗むだけでなく、アクセスから収益化までの全ワークフローを数分で実行しています。多くの場合、フィッシング、スミッシング、ソーシャルエンジニアリングを自動化ツールやAI対応スクリプトと組み合わせています」とSeker氏は語ります。

小売業者は、金銭、個人情報、大量の取引が交差するため、サイバー犯罪者にとって金鉱のような存在ですと、BforeAの脅威調査・対策リードのAbu Qureshi氏も同意します。攻撃者は、盗まれたギフトカード、ロイヤルティポイント、決済データを通じて現金化できる直接的な道があることを知っており、ホリデーシーズンの繁忙期はその機会をさらに増幅させます。「攻撃者は小売業者を低リスクの標的と見なしています。季節ごとの予測可能なピーク、断片化したITシステム、店舗・EC・サードパーティベンダーにまたがる巨大な攻撃対象面があるからです。」

Qureshi氏によれば、技術的な複雑さが、小売業者が他業種の組織よりもサイバー攻撃から守るのが難しい主な理由です。「最大の課題は複雑さです。多くの小売環境は、古いサプライヤー、外部委託の決済プロセッサ、クラウドアプリ、パートナー連携の寄せ集めだからです」と彼は言います。状況をさらに悪化させているのは、急速な季節雇用やフランチャイズ店舗間のセキュリティのばらつきであり、たとえ本部のセキュリティ対策が万全でも、守りきれないほど多くの弱点が存在するのです。

Keeper SecurityのCEO兼共同創業者、Darren Guccione氏は、小売業者にとって最も効果的な防御は、まず従業員がどのようにシステムにアクセスするかを管理することから始まると述べています。つまり、強力なパスワードを設定し安全に保管する、またはパスキーを利用してフィッシング耐性のあるパスワードレス認証を導入することです。多要素認証や特権アクセス管理ツールも、不可欠なセキュリティ層を追加できると彼は言います。

認識不足

従業員への認識向上トレーニングも、もう一つの重要な要素です。「小売業者がマーケティングのパーソナライズや物流の効率化に活用しているのと同じAIツールが、犯罪者によるリアルなフィッシングやスミッシングキャンペーンの作成にも使われています」とGuccione氏は指摘します。「定期的なサイバーセキュリティ認識トレーニングは、従業員が警戒すべきサインを見抜き、行動前にメッセージの真偽を確認する知識を与えます。」

小売業者が他業種と異なり直面する大きな課題の一つは、ホリデーシーズンのような時期に季節雇用や短期雇用の従業員を管理する必要があることです。「こうした従業員の中には…組織のためにセキュリティを意識して行動しようとしない人もいるかもしれません」とKnowBe4のCISOアドバイザー、Erich Kron氏は述べています。「そのため、メッセージングで従業員自身にも個人的なメリットがあることを説明することが非常に重要です。そうすることで、家庭でも詐欺に引っかかりにくくなるのです。」