米国保健福祉省(HHS)は、攻撃者の銀行口座へ資金を迂回させることを目的とした高度なソーシャルエンジニアリング攻撃が急増しているとして、同分野のITヘルプデスク運用担当者に警告した。
HHS情報セキュリティ室およびヘルスセクター・サイバーセキュリティ調整センターによる通知では、脅威アクターは通常、財務職の従業員を名乗って電話をかけ、発信者番号を偽装して市内局番の番号に見せかけると主張している。
警告は続けて、「脅威アクターは、本人確認に必要な機微情報を提示でき、対象従業員の社会保障番号(SSN)の下4桁や社内ID番号、その他の属性情報を含む」と述べた。
「これらの詳細は、職業向けネットワーキングサイトや、過去のデータ侵害などの公開情報源から入手された可能性が高い。脅威アクターは自分の電話が壊れているためログインできず、MFAトークンも受け取れないと主張した。その後、ITヘルプデスクをうまく説得してMFAに新しい端末を登録させ、社内リソースへのアクセスを得ることに成功した。」
医療分野の脅威について詳しく読む:医療機関へのランサムウェア攻撃の被害額は米国で780億ドル
アクセスを得ると、脅威アクターは銀行振込の支払い先を自らが管理する口座へ変更し、その後、資金を海外口座へ送金する。
警告は、「アクセスを得た後、脅威アクターは支払者(payer)サイトに関連するログイン情報を特に狙い、そこで支払者口座のACH変更を行うためのフォームを提出した」と指摘した。
「従業員のメールアカウントへのアクセスを得ると、決済処理業者に指示を送り、正当な支払いを攻撃者が管理する米国内の銀行口座へ迂回させた。」
HHSは、同様の手口が2023年9月に悪名高い脅威グループ「Scattered Spider」によっても用いられ、ホスピタリティおよびエンターテインメント業界の組織に対するALPHVランサムウェア攻撃で確認されたと述べた。
警告はまた、AIを活用した音声なりすましツールがこれらの攻撃で使用される可能性があるとも注意喚起した。
同文書では 医療機関が講じるべき複数の緩和策が列挙されており、次のような項目が含まれる:
- ユーザー認証において番号一致(number matching)を有効にしたMicrosoft Authenticatorを強制し、MFAの選択肢からSMSを削除する
- 信頼できるネットワーク場所からの認証をユーザーに求めること、および/または端末の準拠性を確保することにより、MFAおよびSSPR登録の安全性を担保する
- 条件付きアクセス ポリシーを作成し、ユーザーが信頼できるネットワーク場所から認証する場合にのみアクセスを許可すること、および/または端末の準拠性を確保することにより、Microsoft AzureおよびMicrosoft 365の管理機能への外部アクセスをブロックする
翻訳元: https://www.infosecurity-magazine.com/news/hospital-it-helpdesks-voice/
