出典:Buddy Mays(Alamy Stock Photo経由)
ハッカーは、教育関係者から機密情報を盗み取る目的で米国政府のウェブサイトを偽装しています。
BforeAIのPreCrime Labsの脅威研究者は最近、米国教育省(DoE)のG5助成金管理および連邦資金ポータルを利用したフィッシングキャンペーンの詳細を明らかにしました。G5システムは、特定の種類の学生支援を含む幅広い助成金の資金引き出しに使用されており、学校、州機関、非営利団体、その他の機関など、多くの組織がこのシステムを利用しています。
BforeAIによると、脅威アクターはG5のホームページやログインポータルを模倣した複数のドメインを公開し、教育関係者、助成金管理者、関連ベンダーから認証情報を収集しようとしています。これらの認証情報は、機密性の高い助成金データへのアクセス、受給者のなりすまし、支払い指示の変更、他の標的型フィッシングキャンペーンの支援などに利用される可能性があります。
教育分野は、近年、脅威アクターにとってますます価値の高い標的となっていますが、他の現実世界のニュースも要因となっている可能性があります。「この活動は、教育省で1,400人のレイオフが発表されたトランプ政権の最近の発表を受けて特に警戒すべきものです。これにより混乱が生じ、ソーシャルエンジニアリングの機会が生まれる可能性があります」と研究ブログは述べています。
キャンペーンの詳細
PreCrime Labsの研究者は、「ログインポータルを模倣し、正規の連邦システムと関連があるように見せかける欺瞞的な構造を用いている」6つのドメインを特定しました。これらには「g5parameters」や「g4parameters」といった名前が含まれています。
インフラ面では、G5の偽サイトは公式のg5.govウェブサイトのビジュアルデザインをコピーし、正規に見せかけるための大文字小文字を区別する偽のログインフォームや、JavaScriptベースの認証情報流出機能を備えています。ドメインはHello Internet Corpに登録されており(研究者によると「不正利用への対応が緩いことで知られている」)、Cloudflare CDNでフロントされて「難読化と稼働継続性」を確保しています。
CloudflareのCDNおよびトンネリングサービスは、その証明書がフィッシングドメインに正当性を与えるため、フィッシングアクターに人気です。
研究者はまた、analytics.phpやupdates.phpを使ったログイン体験のシミュレーション、ブラウザベースのクローク、DOM操作による「自動スキャナーの混乱」、および「/verify/エンドポイントへのリダイレクト(これは二次的なフィッシングや多要素認証のバイパスにつながる可能性が高い)」の使用も指摘しています。
この調査では特定の脅威アクター名は挙げられていません。しかし、この発見は非常に新しいものであり、BforeAIの研究者は7月15日にこのキャンペーンを特定し、教育省に通知しました。セキュリティベンダーは、関連する悪意のあるドメインを特定し、インシデントの指標を業界パートナーと共有し、さまざまな攻撃要素の再利用を監視していると述べています。
BforeAIの脅威研究・対策リードであるAbu Qureshi氏はDark Readingに対し、「当社は教育省監察官室に通知しましたが、教育省自体による目に見える公的な取り締まりや削除の取り組みは行われていません」と語っています。
「ほとんどの対応は外部からの報告や民間セクターの脅威インテリジェンスによって主導されており、教育省自体による積極的な削除ではありません」とQureshi氏は述べています。「インフラは依然として大部分が稼働中で、妨害の初期段階にあります。」
教育省はDark Readingからのコメント要請に応じませんでした。
まとめ
研究者は、関連組織、政府職員、助成金受給者に対し、不明なメール送信元からのリンクをクリックしないこと、URLを確認すること、公式G5ポータルをブックマークすること、不審なメールやドメインを報告することを推奨しています。
このキャンペーンは米国政府のウェブサイトを偽装している点が特に注目されますが、教育機関が脅威活動にさらされている事例の一つに過ぎないことも指摘しておくべきです。
Qureshi氏によると、こうした組織は歴史的に、分散したIT環境、セキュリティ意識がさまざまな多数のユーザー(学生や職員を含む)の入れ替わり、「学術界のオープンアクセス文化」により、フィッシング攻撃に非常に脆弱だといいます。これらは安全なアクセス制御を困難にします。
「今回の場合、助成金管理者や教育関係者は、特に資金調達や移行期間中のプレッシャー下では、ドメイン名の確認やフィッシングの兆候を慎重に見極める訓練を受けていない可能性があります」と同氏は述べています。「攻撃者はこのギャップを突こうとしているようです。」