- 2023年8月29日、Retoolはスピアフィッシング攻撃により、27件のクラウド顧客アカウントに不正アクセスがあったと報告
- この攻撃はSMSベースのフィッシング攻撃から始まり、従業員はIT部門からアカウントの問題について送られてきたように見せかけたテキストメッセージを受け取った
- 1人の従業員がテキストメッセージ内のリンクからログインし、多要素認証(MFA)フォームを含む偽のポータルへ誘導された
- 攻撃者はITチームのメンバーを装って従業員に電話し、追加のMFAコードを入手して、従業員のOktaアカウントに個人端末を追加できるようにした
- その後、攻撃者は自身のOkta MFAを作成できるようになり、これにより攻撃者の端末上でGSuiteセッションが有効化された
- 攻撃者は侵害されたGoogleアカウント内のすべてのMFAトークンにアクセスし、その結果、Retoolの内部システムに侵入して特定の顧客アカウントに対する乗っ取り攻撃を実行した
- Retoolは、すべての社内認証セッションを無効化し、影響を受けたアカウントへのアクセスを制限し、影響を受けた顧客に通知し、アカウントを元の状態に復旧することで対応した
- Retoolのオンプレミス顧客は「ゼロトラスト」環境で運用され、完全に独立しているため影響を受けなかった
- この事件は、ソフトウェアベースのOTPに依存するMFAの脆弱性と、Google Authenticatorのクラウド同期機能に関連するリスクを浮き彫りにした
- Retoolは、GoogleがGoogle Authenticatorのダークパターン(クラウド同期を有効にさせる設計)を取り除くか、組織がこれを無効化できる機能を提供すべきだと提案した
- 同社は、ソーシャルエンジニアリングに対する認識の重要性と、システム全体に影響を与えるヒューマンエラーを防ぐ仕組みの必要性を強調した
- Retoolはすでに社内でhuman-in-the-loopワークフローを実装しており、これを顧客向け製品にも導入する予定
- 同社は顧客に対し、自らの脅威モデルを理解し、アクション実行時や複数の従業員の承認を必要とするエスカレーションフローのような追加の保護措置を組み込むよう推奨している
2件のコメント
説明のとおりだとすると、かなり社内事情に詳しい何者かがスピアフィッシングを試みたようですね。
社内プロセスはもちろん、実在する社員の声までディープフェイクで合成して電話をかけるほどだったとは。
そこで Google Authenticator のクラウド同期機能で OTP を無力化したとは、恐ろしい話です……
Hacker Newsの意見