Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 47
ストーリー by headless
拡大 部門より
拡大 部門より
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ
(Retool のブログ記事、
Ars Technica の記事、
Bleeping Computer の記事)。
複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。
OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能を 4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。
Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。
複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。
OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能を 4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。
Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。
そこまでいくと (スコア:1)
なくてもかなり抜かれそうではある
新規セットアップのときにOTP同期は、ちょっと抑えが必要かなとはまあ思うけど
M-FalconSky (暑いか寒い)
巧妙になったものだ (スコア:1)
なるほどね合成音声で社内のIT管理者になりすましまで出来てしまうのか
これ日本でもやばそうだな
狙った会社の社内管理者の個人情報を盗んでからやれば簡単に出来そうだな
特に下っ端の社員の声を覚えてる人は少ないだろうし
社員の多い会社の方がやられそう
逆に今後は社内管理者も仕事しづらくなりそうで
いちいち疑われるんだろうねw
Re:巧妙になったものだ (スコア:1)
電話口から口頭でワンタイムパスワードを聞き出すという状況が凄いですね
攻撃者の話術かシナリオが相当良いのか、騙された側のうっかり度が高いのか
Re:巧妙になったものだ (スコア:2)
ミトニックの本に書いてあるくらい昔からあります…
Re: (スコア:0)
ソーシャルハックについて書かれている書籍があるのは誰でも知ってるよね
実際今回のケースでどういうシナリオで騙した騙されたのかが気になります
Re: (スコア:0)
パスワード忘れちゃったおしえてー
おけおけ
ちーん
これだけだと思うよ
Re: (スコア:0)
今はわからんけど、
数年前にUQモバイルを解約する際、電話必須でしかも口頭で4桁数字の暗証番号を言わされたよ。
もう2度のUQ使わないと思った。
Re: (スコア:0)
なりすましできないようにIT管理者を監禁しないといけない時代になるのか
高給と引き換えに24/365外に出れない仕事へ
Re: (スコア:0)
社内管理者から電話があったら「その前にこの前立て替えた10万円、先に払って」
とか適当な話をしてちゃんと否定出来るか確認したほうがいいって事やね。
OTPの共有鍵が漏洩しても (スコア:0)
通常のIDとパスワードもセットで漏洩しなければログインはできないのでは?
通常のパスワードを使わないアホなシステムだったのか?
Re: (スコア:0)
Google Authenticatorに、パスワード同期機能もあるんじゃね?
使ってないからしらんけど。
Re: (スコア:0)
いい悪いは別にして、YahooもSMS認証だけでパスワードがないシステムになってるし、
そういうシステムはあるよ。
あと確かにGoogle Chromeにパスワード覚えさせてて、覚えさせたパスワードを同期してると、アカウント乗っ取られた時点でダメだな。
Re: (スコア:0)
覚えさせていなくてもGmailに紐づけてあるアカウントはアウトでしょ。パスワードをリセットされてしまう。まあ、秘密の質問などのハードルがあったりするのでChromeブラウザに覚えさせているよりは多少マシでしょうけど。
Re: (スコア:0)
この手の認証アプリを使ってるとパスワードレスでログインできるんだなこれが。
Re: (スコア:0)
本当に安全にしたければ、パスワードは大事。
パスワードレスは、乗っ取られても構わない程度の重要度の低いものでの利用にとどめるべき。
所詮は安全性を犠牲に利便性を高める為のもの。
Google Authenticator を複数デバイスで利用 (スコア:0)
OTP同期機能って必要なのか?ってのが実装時の感想だったわ。
エクスポート機能で何台でも複製できるじゃないか。
実際、バックアップ端末をこれで2台確保してる。
エクスポート元を強制削除しなけりゃならないわけじゃないし。
Re:Google Authenticator を複数デバイスで利用 (スコア:1)
OTPの仕組みを理解してない素人が、たった一台のOTP端末を壊したり紛失したりすると詰む。
そのサポートにかかる費用を考えてみてくれ。
Re: (スコア:0)
ひっくるめて無駄な機能だよね
Re: (スコア:0)
無駄感はあるんだけど、いろいろ不勉強なので
・googleアカウントって、個人用と商用と両方あるんだっけ?
・商用があるなら、管理者にはOTP同期有効/無効のグループポリシー設定みたいなのあるのかな?まだないのかな?
・Retoolっていうのは、日本ではサイボウズ社みたいなグループウェアやノーコード製品の会社なのかな?
いろいろ気になった(タレコミのリンク先記事はまだ読んでいない)
Re: (スコア:0)
ジャパニーズトラディショナルカンパニーはそういう無駄なところに無限に金を注ぎ込むけど、Googleのサポートなんてbotに丸投げしてるだけじゃん
Re: (スコア:0)
#4531171の言ってるサポートってGoogleのサポートのことじゃなくて、OTPで運用している組織からその構成員へのサポートのことだろ。
Re: (スコア:0)
今回の攻撃の成立はOTPの仕組みの理解不足によるところが大きい。
そのサポートにかかる費用は支払うべきものなのでは。
Re: (スコア:0)
他要素認証に使う端末はパスワードや生体認証でロックされる前提です。
また端末がロックされていてもAuthenticatorアプリを使用する際別途パスワードや生体認証を要求されます。
つまり本人が騙されてるか殺されたか脅されてるか裏切ったか端末を認証無しで使えるようにしている場合を除き安全というわけです。
Re: (スコア:0)
エクスポート/インポートの方が脆弱だって考えかな?
データを誰でも利用可能な瞬間が存在するし。
どんなにセキュリティを強化しようとも (スコア:0)
間抜けの社員がいる限り漏洩は止められないよ。
しかもセキュリティを強化すれば強化するほど、使いにくくなって抜け道を探す社員が増えるし。
Re: (スコア:0)
セキュリティホールが社員にあるなら、セキュリティの強化の一番の施策は社員教育ですよ。
ちゃんとやっていますか?
Re: (スコア:0)
社員をなくすことかと思った
Re:どんなにセキュリティを強化しようとも (スコア:1)
社員をなくすことかと思った
つまりShine★ということか
Re: (スコア:0)
どんだけ教育したところでその規則ギリギリで楽しようとする、あるいは惰性化するのが人間ですよ。こればかりはどうしようもない。
Re: (スコア:0)
止められなくても間抜けの数を減らす努力がセキュリティ対策ってものでは。
Re: (スコア:0)
間抜けの数を減らすのは穴を見つけづらくする効果はあるものの
最もセキュリティレベルの低い場所は変わらないという本質的問題も。
やはり基本に忠実に考えれば間抜けのレベルの引き上げを考えるか
間抜けはどうしようもない事を前提に技術的に並列に別の対策を
加えるかしないとダメだと思う。
# 間抜けな一般社員はまだやりようがあるんだよね。
# 問題は間抜けな役員とか取締役とか(ry
Re: (スコア:0)
アメリカ大統領のガッチガチのスマホみたいなのはそこらへんの会社役員にも必要だね。
Re: (スコア:0)
抜け道を塞ぐのもセキュリティ強化の一環です
二要素認証ってなんだっけ??? (スコア:0)
Keepass+TOTPプラグインとか、KeepassXCのTOTP機能使って、「便利だー」とか宣ってる人も全員終わってる。
せめて鍵ファイル分けて使うなら分かるが、指紋とかで開くようにしてたら目も当てられない。
もっとも、この部分はまた別の問題の様な気がするんですが・・・
> 攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる
Re:二要素認証ってなんだっけ??? (スコア:1)
もう似たような返信付いてるけど、KeePassのTOTPはセキュリティの向上のためじゃなくて利便性のために、自分は使ってる。
KeePassを正しく活用すればそれだけで十分に安全なわけだが、一部サイトだと「TOTPが有効でない & 普段のIPアドレスでない」でログイン弾かれたりするので、そこでKeePassTOTPで形だけ要件を満たす。
攻撃経路って、「KeePassファイルの流出&復号」あるいは「PCの侵害&メモリ上の復号データの読み取り」あるいは「KeePassアプリのマルウェア化」くらいでしょ。十分小さいので許容可能なリスクとみるな。
TOTPアプリを正しく使ったところで、似たようなリスクは列挙できるし。
Re: (スコア:0)
ニ要素認証って、パスワード漏洩とパスワード使いまわしのコンボに対する対策が主じゃね?
パスワードマネージャのパスワードが流出する事態だと、その時点で遠隔操作されるだろうし。
まあ、じゃあ、パスワードマネージャのTOTP機能はなんであるんだ、って話にはなるんだが。
Re: (スコア:0)
尿素(にょうそ)認証はあるのかな
Re: (スコア:0)
二要素認証はブラウザの拡張機能がスパイウェア化したときの対策として使ってるだけだから・・・
Re: (スコア:0)
二要素認証じゃないけど未だにパス付きZIPのメールが添付されてきた後、
別メールで先ほどのパスワードはこちらですってメールが来る某大手企業とやりとりしてる
しかもこちらからファイル送るときも同じようにやれって言われてる
このやり方って意味が無いって言われてなかったっけ?
ゆうパックで現金入れた鍵かけた箱送ってさらに別の便で鍵送ってるようなもんじゃないの?
#ゆうパックで現金送れも詐欺です
Re: (スコア:0)
手でやるなら 一通目と二通目の間に 宛先間違いに気づける可能性がある。
対策した気になれる。
まぁ、その会社の情シスがクソだとはわかる
Re: (スコア:0)
情シスがいくら説得しても、聞く耳を持たない上司がいればどうにもならないわけで。
んで、大抵の会社で情シスは立場が弱いことが多い(直接儲けがでる部署じゃないので)から一慨にクソ扱いするのはどうだろう。
Re: (スコア:0)
自動化などで会社の業務を効率化する取り組みをやれば、直接的な儲け以上に価値があるだろ。
立場が弱いところは、自分たちだからこそできる会社への積極的な貢献から、逃げているのでは?
Re: (スコア:0)
そりゃ自動化するほど立場が弱いやつらの仕事が費用になるから自分のクビがかかってるんでしょう。
Re: (スコア:0)
しかもこちらからファイル送るときも同じようにやれって言われてる
あなたの会社の方でもっとセキュアな会社間ファイル送信手段が手順化されててもそうなん?
メール上のzip暗号化は相手方の要件としてもパスワード追送まで合わせる義務はないような。
Re: (スコア:0)
>ゆうパックで現金入れた鍵かけた箱送ってさらに別の便で鍵送ってるようなもんじゃないの?
それなら意味あるように思うのだが・・・
Re: (スコア:0)
送るのが同じ経路だから、盗む側は一緒に盗めばいいだけで、おまじないくらいにしか効果はない。