パスワードを忘れた? アカウント作成
17327804 story
Google

Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 47

ストーリー by headless
拡大 部門より
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事Ars Technica の記事Bleeping Computer の記事)。

複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。

OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。

Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • なくてもかなり抜かれそうではある

    新規セットアップのときにOTP同期は、ちょっと抑えが必要かなとはまあ思うけど

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2023年09月18日 22時01分 (#4531170)

    なるほどね合成音声で社内のIT管理者になりすましまで出来てしまうのか
    これ日本でもやばそうだな
    狙った会社の社内管理者の個人情報を盗んでからやれば簡単に出来そうだな
    特に下っ端の社員の声を覚えてる人は少ないだろうし
    社員の多い会社の方がやられそう

    逆に今後は社内管理者も仕事しづらくなりそうで
    いちいち疑われるんだろうねw

    • 電話口から口頭でワンタイムパスワードを聞き出すという状況が凄いですね
      攻撃者の話術かシナリオが相当良いのか、騙された側のうっかり度が高いのか

      親コメント
      • by 90 (35300) on 2023年09月19日 8時22分 (#4531271) 日記

        ミトニックの本に書いてあるくらい昔からあります…

        親コメント
        • by Anonymous Coward

          ソーシャルハックについて書かれている書籍があるのは誰でも知ってるよね
          実際今回のケースでどういうシナリオで騙した騙されたのかが気になります

          • by Anonymous Coward

            パスワード忘れちゃったおしえてー
            おけおけ
            ちーん
            これだけだと思うよ

      • by Anonymous Coward

        今はわからんけど、
        数年前にUQモバイルを解約する際、電話必須でしかも口頭で4桁数字の暗証番号を言わされたよ。
        もう2度のUQ使わないと思った。

    • by Anonymous Coward

      なりすましできないようにIT管理者を監禁しないといけない時代になるのか
      高給と引き換えに24/365外に出れない仕事へ

    • by Anonymous Coward

      社内管理者から電話があったら「その前にこの前立て替えた10万円、先に払って」
      とか適当な話をしてちゃんと否定出来るか確認したほうがいいって事やね。

  • by Anonymous Coward on 2023年09月18日 21時46分 (#4531161)

    通常のIDとパスワードもセットで漏洩しなければログインはできないのでは?
    通常のパスワードを使わないアホなシステムだったのか?

    • by Anonymous Coward

      Google Authenticatorに、パスワード同期機能もあるんじゃね?
      使ってないからしらんけど。

    • by Anonymous Coward

      いい悪いは別にして、YahooもSMS認証だけでパスワードがないシステムになってるし、
      そういうシステムはあるよ。
      あと確かにGoogle Chromeにパスワード覚えさせてて、覚えさせたパスワードを同期してると、アカウント乗っ取られた時点でダメだな。

      • by Anonymous Coward

        覚えさせていなくてもGmailに紐づけてあるアカウントはアウトでしょ。パスワードをリセットされてしまう。まあ、秘密の質問などのハードルがあったりするのでChromeブラウザに覚えさせているよりは多少マシでしょうけど。

    • by Anonymous Coward

      この手の認証アプリを使ってるとパスワードレスでログインできるんだなこれが。

      • by Anonymous Coward

        本当に安全にしたければ、パスワードは大事。
        パスワードレスは、乗っ取られても構わない程度の重要度の低いものでの利用にとどめるべき。
        所詮は安全性を犠牲に利便性を高める為のもの。

  • by Anonymous Coward on 2023年09月18日 21時56分 (#4531166)

    OTP同期機能って必要なのか?ってのが実装時の感想だったわ。
    エクスポート機能で何台でも複製できるじゃないか。
    実際、バックアップ端末をこれで2台確保してる。
    エクスポート元を強制削除しなけりゃならないわけじゃないし。

    • by Anonymous Coward on 2023年09月18日 22時11分 (#4531171)

      OTPの仕組みを理解してない素人が、たった一台のOTP端末を壊したり紛失したりすると詰む。
      そのサポートにかかる費用を考えてみてくれ。

      親コメント
      • by Anonymous Coward

        ひっくるめて無駄な機能だよね

        • by Anonymous Coward

          無駄感はあるんだけど、いろいろ不勉強なので

          ・googleアカウントって、個人用と商用と両方あるんだっけ?
          ・商用があるなら、管理者にはOTP同期有効/無効のグループポリシー設定みたいなのあるのかな?まだないのかな?
          ・Retoolっていうのは、日本ではサイボウズ社みたいなグループウェアやノーコード製品の会社なのかな?

          いろいろ気になった(タレコミのリンク先記事はまだ読んでいない)

      • by Anonymous Coward

        ジャパニーズトラディショナルカンパニーはそういう無駄なところに無限に金を注ぎ込むけど、Googleのサポートなんてbotに丸投げしてるだけじゃん

        • by Anonymous Coward

          #4531171の言ってるサポートってGoogleのサポートのことじゃなくて、OTPで運用している組織からその構成員へのサポートのことだろ。

      • by Anonymous Coward

        今回の攻撃の成立はOTPの仕組みの理解不足によるところが大きい。
        そのサポートにかかる費用は支払うべきものなのでは。

    • by Anonymous Coward

      他要素認証に使う端末はパスワードや生体認証でロックされる前提です。
      また端末がロックされていてもAuthenticatorアプリを使用する際別途パスワードや生体認証を要求されます。
      つまり本人が騙されてるか殺されたか脅されてるか裏切ったか端末を認証無しで使えるようにしている場合を除き安全というわけです。

    • by Anonymous Coward

      エクスポート/インポートの方が脆弱だって考えかな?
      データを誰でも利用可能な瞬間が存在するし。

  • by Anonymous Coward on 2023年09月18日 23時06分 (#4531189)

    間抜けの社員がいる限り漏洩は止められないよ。
    しかもセキュリティを強化すれば強化するほど、使いにくくなって抜け道を探す社員が増えるし。

    • by Anonymous Coward

      セキュリティホールが社員にあるなら、セキュリティの強化の一番の施策は社員教育ですよ。
      ちゃんとやっていますか?

    • by Anonymous Coward

      止められなくても間抜けの数を減らす努力がセキュリティ対策ってものでは。

      • by Anonymous Coward

        間抜けの数を減らすのは穴を見つけづらくする効果はあるものの
        最もセキュリティレベルの低い場所は変わらないという本質的問題も。

        やはり基本に忠実に考えれば間抜けのレベルの引き上げを考えるか
        間抜けはどうしようもない事を前提に技術的に並列に別の対策を
        加えるかしないとダメだと思う。

        # 間抜けな一般社員はまだやりようがあるんだよね。
        # 問題は間抜けな役員とか取締役とか(ry

        • by Anonymous Coward

          アメリカ大統領のガッチガチのスマホみたいなのはそこらへんの会社役員にも必要だね。

    • by Anonymous Coward

      抜け道を塞ぐのもセキュリティ強化の一環です

  • by Anonymous Coward on 2023年09月18日 23時17分 (#4531194)

    Keepass+TOTPプラグインとか、KeepassXCのTOTP機能使って、「便利だー」とか宣ってる人も全員終わってる。
    せめて鍵ファイル分けて使うなら分かるが、指紋とかで開くようにしてたら目も当てられない。

    もっとも、この部分はまた別の問題の様な気がするんですが・・・
    > 攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる

    • by Anonymous Coward on 2023年09月19日 6時57分 (#4531249)

      もう似たような返信付いてるけど、KeePassのTOTPはセキュリティの向上のためじゃなくて利便性のために、自分は使ってる。
      KeePassを正しく活用すればそれだけで十分に安全なわけだが、一部サイトだと「TOTPが有効でない & 普段のIPアドレスでない」でログイン弾かれたりするので、そこでKeePassTOTPで形だけ要件を満たす。

      攻撃経路って、「KeePassファイルの流出&復号」あるいは「PCの侵害&メモリ上の復号データの読み取り」あるいは「KeePassアプリのマルウェア化」くらいでしょ。十分小さいので許容可能なリスクとみるな。
      TOTPアプリを正しく使ったところで、似たようなリスクは列挙できるし。

      親コメント
    • by Anonymous Coward

      ニ要素認証って、パスワード漏洩とパスワード使いまわしのコンボに対する対策が主じゃね?
      パスワードマネージャのパスワードが流出する事態だと、その時点で遠隔操作されるだろうし。

      まあ、じゃあ、パスワードマネージャのTOTP機能はなんであるんだ、って話にはなるんだが。

    • by Anonymous Coward

      二要素認証はブラウザの拡張機能がスパイウェア化したときの対策として使ってるだけだから・・・

    • by Anonymous Coward

      二要素認証じゃないけど未だにパス付きZIPのメールが添付されてきた後、
      別メールで先ほどのパスワードはこちらですってメールが来る某大手企業とやりとりしてる
      しかもこちらからファイル送るときも同じようにやれって言われてる
      このやり方って意味が無いって言われてなかったっけ?
      ゆうパックで現金入れた鍵かけた箱送ってさらに別の便で鍵送ってるようなもんじゃないの?

      #ゆうパックで現金送れも詐欺です

      • by Anonymous Coward

        手でやるなら 一通目と二通目の間に 宛先間違いに気づける可能性がある。
        対策した気になれる。

        まぁ、その会社の情シスがクソだとはわかる

        • by Anonymous Coward

          情シスがいくら説得しても、聞く耳を持たない上司がいればどうにもならないわけで。
          んで、大抵の会社で情シスは立場が弱いことが多い(直接儲けがでる部署じゃないので)から一慨にクソ扱いするのはどうだろう。

          • by Anonymous Coward

            自動化などで会社の業務を効率化する取り組みをやれば、直接的な儲け以上に価値があるだろ。
            立場が弱いところは、自分たちだからこそできる会社への積極的な貢献から、逃げているのでは?

            • by Anonymous Coward

              そりゃ自動化するほど立場が弱いやつらの仕事が費用になるから自分のクビがかかってるんでしょう。

      • by Anonymous Coward

        しかもこちらからファイル送るときも同じようにやれって言われてる

        あなたの会社の方でもっとセキュアな会社間ファイル送信手段が手順化されててもそうなん?
        メール上のzip暗号化は相手方の要件としてもパスワード追送まで合わせる義務はないような。

      • by Anonymous Coward

        >ゆうパックで現金入れた鍵かけた箱送ってさらに別の便で鍵送ってるようなもんじゃないの?
        それなら意味あるように思うのだが・・・

        • by Anonymous Coward

          送るのが同じ経路だから、盗む側は一緒に盗めばいいだけで、おまじないくらいにしか効果はない。

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...