出典:AJ Pics(Alamyストックフォト経由)
ShinyHuntersというサイバー犯罪集団が、テック大手GoogleのSalesforceインスタンスを通じて企業データを盗み出しました。
これは、ここ数カ月で世界の大手企業を襲った一連の不可解な犯罪のひとつに過ぎません。アディダス、パンドラ、アリアンツ、ティファニー、ディオール、ルイ・ヴィトン。まるで小さな町で続発する未解決殺人事件のように、これらの事件には共通する「犯行声明」があるようです。
中には、カンタス航空のように、「顧客データを扱うプラットフォーム」という曖昧な表現しかしていない企業もあります。一方、シスコのように、サードパーティの顧客関係管理(CRM)プラットフォームと具体的に言及した企業もあります。これら全てに共通するものが明らかになりました:Salesforceです。
6月4日、Googleの脅威インテリジェンスグループが支援に乗り出しました。同グループは、悪名高いShinyHuntersと関係するUNC6040というサイバー犯罪グループについてのブログ記事を公開しました。この記事では、UNC6040がSalesforceを標的にして使っている最新の戦術・技術・手順(TTP)、特に高度なビッシング(音声詐欺)について詳述しています。記事の最後には、このような攻撃から守るためのガイダンスも掲載されました。
そして、まさにその同じ月に、攻撃者はGoogle自身を侵害しました。
「Googleは手口を公開したにもかかわらずデータを失いました。これは、内部者が規制を回避することに同意した瞬間、重層的なコントロールが崩壊することを示しています」とSectigoの上級フェロー、ジェイソン・ソロコ氏は述べています。「UNC6040とShinyHuntersは、サードパーティSaaSの脆弱な部分に声によるフィッシングを産業化し、小規模なセキュリティチームがベンダーのデフォルト設定を信頼しているところを突いてきます。彼らはゼロデイ脆弱性を発明しているわけではありません。忍耐力とブランドマーケティングを武器にしているのです。」
夏のSaaS盗難ラッシュ
昨年、ShinyHuntersは企業のクラウド環境を、いわゆる「ハッキング」すらせずに簡単に侵害しました。彼らは情報窃取マルウェアで集めた古くても有効な認証情報を利用し、多要素認証(MFA)の欠如を突いて企業のSnowflakeクラウドストレージアカウントに侵入したのです。その結果、AT&T、サンタンデール銀行、ニーマン・マーカス、チケットマスターなど、約165の有名企業が被害を受けました。
今年は手口こそ違いますが、基本は同じです。脆弱性やエクスプロイトは不要で、少しの人的ミスだけが必要です。
Googleが6月の運命的なブログ記事で説明したように、今回の攻撃者はまず従業員に電話をかけ、組織のITスタッフを装います。従業員に「データローダー」と呼ばれるSalesforceアプリケーション(大量データ処理用)をインストールさせますが、これは実際にはトロイの木馬で、攻撃者に顧客環境へのアクセスを与える改造版です。Googleは、厳格なアクセス制御の実施や特定IPへのシステムアクセス制限など、この種の攻撃に対する一般的な対策をいくつか公開しました。
しかし、実際にはこれらの対策は十分ではなかったようです。8月5日、Googleはブログを更新し、自社も「同様のUNC6040の活動によって影響を受けた」と公表しました。今回影響を受けたSalesforceインスタンスには、中小企業の顧客に関する連絡先情報やメモが保存されていました。Googleは、UNC6040のアクセスは「ごく短い時間」で遮断され、「社名や連絡先など、基本的かつ主に公開されているビジネス情報」しか盗まれなかったと主張しています。
GoogleとSalesforceは自社のブログ記事へのリンク以外に、Dark Readingへの追加情報提供を控えました。しかしBleeping Computerは攻撃者と直接やり取りし、いくつかの情報を引き出しました。グループは被害者の一社を「1兆ドル企業」と呼びましたが、これは世界で10社しかなく、Googleもそのひとつです。そしてデータを公開すると脅迫しましたが、金銭の要求すらしませんでした。
ShinyHuntersとは何者か?
ShinyHuntersの戦術・技術・手順(TTP)は昨年から進化し多様化していますが、6月以降さらに変化しています。Googleが8月5日に更新した内容によると、UNC6040は現在、改造データローダーアプリの代わりにMullvad VPNやTORのIP、カスタムPythonスクリプトを使っています。
ShinyHuntersが進化し続ける脅威アクターというわけではありません。むしろ、ドナルド・トランプやMAGAのようなブランド名で、複数の脅威アクターがそれぞれの手法で借用しているように見えます。
「サイバー犯罪者にとって、このブランド名は純金のような価値があります」とAryakaのセキュリティエンジニアリング兼AI戦略担当副社長アディティア・スード氏は説明します。「ダークウェブ上で即座に信頼を得られ、盗んだデータの価格も上がり、恐喝にも有利です。成功した大規模な侵害の実績を持つ名前を使うことで、被害者に心理的圧力をかけて身代金を支払わせることもできます。」
一方で、「この分散型モデルはサイバーセキュリティにとって悪夢です。攻撃の帰属が『シェルゲーム』のようになり、(特定の事件の)攻撃者がコアメンバーなのか新しい協力者なのか、単に名前を利用しているだけの人物なのか分かりません。この曖昧さが防御側の攻撃者プロファイル構築を妨げ、脅威追跡や将来の攻撃予測を困難にします。」
「実質的に、ShinyHuntersブランドは個々の犯罪者が軍隊のような評判で活動できるようにしているのです。」
ソーシャルエンジニアリング対策の強化を
今こそ、ShinyHunters型の脅威に迅速に対応する必要があります。なぜなら、ソーシャルエンジニアリングの手口はますます巧妙になっているからです。
「このキャンペーンは、クラウドセキュリティにおける責任共有モデルの重要性を強調しています」とGoogleのブログは述べています。「Salesforceのようなプラットフォームは堅牢なエンタープライズグレードのセキュリティコントロールを提供していますが、顧客側でアクセスや権限、ユーザー教育をベストプラクティスに従って構成・管理することが不可欠です。」
ソーシャルエンジニアリングの脅威に対抗するために、SalesforceセキュリティガイドとGoogleは、以下の主要な対策・強化策を推奨しています:
-
特にデータアクセスツールに関しては、最小権限の原則を遵守すること
-
接続アプリケーションへのアクセスを厳格に管理すること
-
IPベースのアクセス制限を徹底すること
-
Salesforce Shieldによる高度なセキュリティ監視とポリシー強制を活用すること
-
多要素認証(MFA)を全体で徹底すること
「これらの対策を実施することで、組織は本記事で詳述したビッシングやUNC6040によるデータ流出キャンペーンに対するセキュリティ体制を大幅に強化できます」とGoogleは述べています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/payback-shinyhunters-google-salesforce