米国のモバイルユーザーは、暗号化されていないSMSの使用から速やかに移行し、フィッシング耐性のある多要素認証(MFA)を採用すべきだと、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)の最新のガイダンスが呼びかけた。
このガイダンスは、中国系の脅威グループ、その中には Salt Typhoonも含まれる、がもたらす脅威を受けて策定された。この高度持続的脅威(APT)グループは、大規模なサイバー諜報キャンペーンで最近、少なくとも8社の米国通信企業を標的にした。
CISAは、特に標的にされやすい個人、政府高官や政治の要職にある人々に対し、暗号化されていないSMSプロトコルを用いたテキストメッセージの送信をやめ、代わりにSignalのようなエンドツーエンド暗号化メッセージングアプリを採用するよう助言した。
同庁はまた、SMSベースのMFAからの移行を推奨し、フィッシング耐性のあるMFAに置き換えるよう勧告した。選択肢としては、Fast Identity Online(FIDO)Allianceが挙げる各種FIDO2対応オプションがある。ユーザーは、主にソーシャルメディアやMicrosoft、Google、Appleが提供するサービスを中心に、すべてのサービスでMFAを有効にすべきだ。
「Gmailユーザーは、フィッシングやアカウント乗っ取りに対する防御を強化するため、GoogleのAdvanced Protection(APP)プログラムに登録してください」と同庁は付け加えた。
その他の推奨事項には、次が含まれる。
- パスワードマネージャーを使用する
- 携帯電話アカウントに追加のPINまたはパスコードを設定する
- ソフトウェアとアプリケーションを定期的に更新する
- 個人向け仮想プライベートネットワーク(VPN)を避ける
「個人向けVPNは、残存リスクをインターネットサービスプロバイダー(ISP)からVPNプロバイダーへ移すだけで、しばしば攻撃対象領域を拡大します。無料および商用のVPNプロバイダーの多くは、セキュリティおよびプライバシーポリシーが疑わしいものです」と同庁は付け加えた。「ただし、組織のデータにアクセスするためにVPNクライアントが必要な場合は、別のユースケースです。」
このガイダンスでは、iPhoneおよびAndroidスマートフォンのユーザー向けに、具体的なセキュリティ推奨事項も示された。
これには、AppleのロックダウンモードとGoogle Play Protectを有効にすること、Apple iCloud Private Relayに登録すること、そしてAndroidのプライベート・ドメイン・ネーム・システム(DNS)を設定して、Cloudflareの1.1.1.1Resolver、Googleの8.8.8.8 Resolver、Quad9の9.9.9.9 Resolverなど、信頼できるリゾルバを使用することが含まれる。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-e2e-messaging-salt-typhoon/
