15万社以上の法人顧客を抱える通信大手Twilioは、標的型フィッシング攻撃によりハッカーが顧客データの一部にアクセスできたと報告した。8月4日、組織的な攻撃者が盗んだ企業のログイン認証情報を使って125の企業顧客のデータにアクセスしたとTwilioは発表した。 ブログ記事 事件について説明します。攻撃者は、会社のIT部門を装って現従業員と元従業員に多数のテキストメッセージを送信しました。テキストメッセージには、従業員のパスワードの有効期限が切れた、またはスケジュールが変更されたと書かれており、Twilio の従業員を「SSO」や「Twilio」といった一見正当な用語が満載の URL に誘導していました。しかし、その宛先は認証情報を盗むためのフィッシングサイトでした。Twilio は、この攻撃が明らかに広範囲に及び持続的であることから、通常よりもはるかに組織的かつ巧妙に行われていると考えています。Twilio のパートナーも影響を受けており、脅威アクターは従業員の名前と電話番号を一致させることができました。Twilio は攻撃の発信元となった米国を拠点とするモバイル通信事業者やドメインホストと連携しているが、顧客データはすでに犯罪者の手に渡っている。
侵害の最初の被害者:Signal
人気の暗号化メッセージング アプリ Signal も、Twilio の影響を受ける顧客の 1 つです。同社は月曜日、1,900件のSignalアカウントが侵害された可能性があるとユーザーに対して警告した。この侵害により電話番号が明らかになった可能性があり、脅威の攻撃者がアカウントに新しいデバイスを登録できるようになった可能性があります。しかし、攻撃者は 1,900 件の電話番号のうち 3 件を明示的に検索しました。これらのユーザーのうち 1 人だけが、Signal アカウントが乗っ取られたことを Signal に確認しました。Signal によれば、今回の侵害は 4,000 万人を超えるユーザーのうちごく一部に影響を及ぼしているという。さらに、ハッカーがこの情報を使ってできることの範囲は意図的に限定されています。シグナルは サポートドキュメントによると、「これにより、攻撃者はメッセージ履歴、プロフィール情報、連絡先リストにアクセスすることはできませんでした。メッセージ履歴はデバイス上にのみ保存され、Signal はそのコピーを保持しません。」彼らは、2020年に導入されたSignal PINが、連絡先リスト、プロフィール情報、ブロックリストなどを回復できる唯一の方法であり、これらは侵害の一部ではないことを強調しています。「Twilio が受けた通信攻撃の種類は、Signal が保護するために登録ロックや Signal PIN などの機能を開発した脆弱性です」と Signal は書いています。「通信エコシステムに影響を与える問題を直接解決する能力は当社にはありませんが、Twilio や他のプロバイダーと協力して、ユーザーにとって重要なセキュリティを強化していきます。」
SMSベースのセキュリティはすでに危険だった
情報漏洩の影響を受けた他の124社のTwilio顧客が今後数週間以内に独自の声明を発表するかどうかは不明だ。しかし、SMS セキュリティの脆弱性が急激に増大するという、避けられない問題が再び浮上しました。老朽化した SMS エコシステムは、今日のアクセス可能な公開鍵インフラストラクチャ以前の時代の名残であり、非常に簡単にクラック、偽装、傍受されてしまいます。SIM スワップ攻撃は、SMS ベースの詐欺の最も一般的な形態として単純なフィッシングに取って代わってはいませんが、これまで以上に危険であり、実行も容易になっています。これまで、ソーシャル エンジニアは、携帯電話会社の従業員を説得したり賄賂を渡したりして、自分の管理下にあるデバイスと SIM カードに電話番号を登録させ、SMS メッセージを新しいデバイスに転送していました。しかし、さらに恐ろしいのは、同じプロセスがデジタルで簡単に実行でき、それに対する防御策がほとんどないことです。
SMSメッセージの乗っ取りはかつてないほど簡単になった
KrebsOnSecurityが目を見張るような投稿をした 記事 電話番号の所有者に代わって行動する権限があることを示すために「委任状」または LOA を使用する規制されていない業界を暴露します。表面的には、これらのサービスのプロバイダーは、企業や個人が SMS マーケティングに使用することを目的としています。しかし、研究者は、他人の番号でサインアップすると、SMS メッセージが脅威の実行者に迅速かつ簡単に転送される可能性があることを実証しました。サイバー調査会社 Unit221B の最高研究責任者アリソン・ニクソン氏は KrebsOnSecurity に対し、「これは基本的に、SIM スワップと同等のものを誰とも隔てているのは偽造された LOA だけであることを意味します」と語った。ニクソン氏は連邦規制当局に解決策を指摘し、彼らが行動を起こして消費者を保護する時が来たと述べた。「これは明らかに基礎インフラの重大な欠陥であり、根本的な改革が必要になるだろう」と彼女は語った。「規制当局は本当に介入する必要がある」規制の変更の有無にかかわらず、セキュリティに関して SMS に過度に依存すると、攻撃者の力が強まるだけであることは明らかです。SMS を介したデジタル詐欺は、これまで以上に一般的になっています。不正な URL を通じて認証情報を盗むフィッシング詐欺、リアルタイムの OTP フィッシング攻撃と組み合わせた偽のサポート センターへの電話、そしてさらに多くの攻撃が、ほぼすべての人のテキスト 受信トレイに常駐しています。
SMSベースのセキュリティソリューション
通信業界における根本的な変化は長い間待たれていましたが、SMS セキュリティは定着しています。これを完全に根絶するのは困難だろうが、その代わりに、SMS が提供できる最高の防御よりも安価で高速かつ効果的なツールを持つハッカーに屈服することになる。現時点では、SMS ベースのセキュリティに関しては、ユーザーは次の点を考慮する必要があります。
- 可能な限り、パスワードレス認証を選択してください
- 2FAが利用可能な場合は常に有効にし、可能であればSMS以外の方法を選択してください
- パスワードを決して共有しないでください
- OTPを決して共有しないでください
- 疑わしい場合は、送信されたリンクを使用するのではなく、公式ウェブサイトにアクセスしてパスワードを変更してください。
認証や検証のためにワンタイムパスコードを提供する企業は、システムから SMS ベースの OTP を削除することを検討する必要があります。代わりに、指紋や顔の生体認証を使用した FIDO ベースのパスワードレス認証など、より安全なオプションを選択する必要があります。信頼できる情報源と詐欺師を区別するという重荷は、すでに多くのことを抱えているユーザーには負わせるべきではない。代わりに、FIDOベースの認証は、本質的に フィッシング耐性により、ユーザーはフィッシング攻撃の検出から正当なアプリケーションの選択へと責任を移すことができます。IBM の貢献者である Shane Weeden 氏は、FIDO と WebAuthn により、ユーザーは「フィッシングの試みを人間が視覚的に認識する必要はなく、ブラウザーなどの信頼できるコンピューター プログラムにセキュリティを委任できる」と指摘しています。
最新の CIAM と SMS ベースのセキュリティの将来
最新の CIAM (顧客 ID およびアクセス管理) は、SMS などの通信の遺物に頼りません。SMS ベースの認証、証明、2FA は、互換性のないテクノロジーを連携させる必要性から生まれました。そして現実には、デジタル ID をサポートするためにモバイル ネットワークを使用する必要はもうありません。SMSベースのセキュリティがまだ使用されていることは、大手企業が率先して行動し、 CIAM を最新化します。CIAM実装を将来にわたって有効なものにすることで、これらの老朽化したシステムを廃止できます。また、グローバル アップグレードは、サイバー セキュリティ環境から SMS を完全に排除することを意味します。統合された CIAM プラットフォームにアップグレードする企業は、SMS ベースのセキュリティへの依存を排除し、比類のないレベルの脅威検出とリスク軽減を実現できます。現代のCIAMが提供する360度の視野は、脅威をリアルタイムで阻止することを意味します。 後 最初の違反はすでに発生しています。複数の Twilio 社員が SMS フィッシング詐欺に騙されたが、会社の IT 部門からの一見正当なメッセージの被害者になったのは彼らだけではない。実際には、このような侵害は、脆弱な SMS ベースの通信に依存する老朽化したエコシステムのせいです。ユーザーはこれらのメッセージが本物であることに慣れてしまっているため、次の失言がニュースの見出しになるのは時間の問題です。
