脅威アラート:サプライチェーンへの攻撃を強化する Phishing as a Service について #aqua #セキュリティ #サプライチェーン攻撃
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2022年9月13日に公開された「 Threat Alert: Phishing as a Service to Ramp Up Supply Chain Attacks 」の日本語翻訳です。
脅威アラート:サプライチェーンへの攻撃を強化する Phishing as a Service について
攻撃者は、Phishing as a Service(PhaaS)を導入して、コードやパッケージマネージャ(GitHub、PyPI、Ruby、NPMなど)に対する攻撃を強化しています。この手法は、多要素認証(MFA)の仕組みを回避し、セッションクッキーのハイジャックやアカウントの乗っ取りを招きます。ここ数年で分かったように、このようなアプリケーションのアカウントの乗っ取りはサプライチェーン攻撃につながり、私たちのコミュニティに大きな影響を与えます。このため、読者の皆様には、コードベース、ビルド、ランタイム環境にセキュリティコントロールを実装することを強くお勧めします。最終的には、Cloud Native Application Protection Platforms(CNAPP)を使用することで、セキュリティ攻撃に対して最も堅牢なエンドツーエンドのソリューションを実現できます。
フィッシング攻撃の歴史
オンラインアカウントの大半はパスワード認証で保護されていますが、それだけでは十分でないことがほとんどです。人々は、覚えやすいパスワードを使用するか、あるいは再利用する傾向があります。さらに、サイバーセキュリティにおいて最も弱いのは常に人的要因であり、攻撃者は被害者を騙して認証情報やトークンを進んで提供させることがあります。
攻撃者は、主にパスワードの推測や「ブルートフォース」、マルウェアによるパスワードの乗っ取り、フィッシングサイト(パスワードを盗むために本来のサイトを模倣したウェブサイト)を構築して、パスワードを狙います。過去数年間、フィッシングはサイバー攻撃の中で最も多く見られるタイプの攻撃になっています。2022年上半期には、フィッシング攻撃の報告数が100万件を超え、過去最高を記録しています。
セキュリティーチームはこれに対して警戒を強めており、安全策としてさまざまなタイプの多要素認証(MFA)を導入しています。個人的な質問(最初に飼ったペットの名前は何かなど)、トークンジェネレーター(ワンタイムパスワードを生成する個人デバイスやオンラインウェブサイト)、あるいは代替認証チャンネル(電子メールや携帯電話に送信されるトークンなど)を使用するものがあります。
しかし、長年にわたり、攻撃者はこれらの認証チャンネルを回避するさまざまな方法を発見してきました。攻撃者は、被害者のマシンにマルウェアをインストールし、ブラウザをフックして認証フローを乗っ取り、セッションクッキーと MFA トークンを盗み出します。また攻撃者はエンドユーザーを騙し、team viewer や潜伏型VNC ツールのようなリモートアクセスツールをダウンロードさせ、感染したPCへのバックドアアクセスを可能にし、認証済みセッションをこっそりと盗み出すケースもあります。
また、攻撃者は、より高度なフィッシングキットを使用したフィッシングサイトを立ち上げることで、認証フロー全体を動的に偽装できます。そこから、盗まれたデータは攻撃者の C2 サーバに送信されます。
EvilProxyによる新たなフィッシングキャンペーンについて
最近、「Resecurity」の研究者が、新しい Phishing as a Service(PhaaS)である EvilProxy (Molochとも) を発見しました。このサービスは、リバース・プロキシを使って、被害者にフィッシングサイトを表示させます。一見、正規のサービスに接続しているように見えますが、実際には隠れた中間サーバが被害者のマシンと正規のウェブサーバを接続し、通信を制御しています。被害者は、ブラウザでフィッシングサイトを開いたことに気づかず、騙されて認証情報を入力してしまいます。そこから、リクエストは正規のサイトに転送されます。MFA トークンが必要な場合は、フィッシングサイトに表示され、その後、正規のサイトへ転送されます。認証セッションが確立されると、Cookie が盗まれ、被害者は別のウェブサイトにリダイレクトされます。この時点で、攻撃者は容易にアカウントを乗っ取ることができます。
Google、Facebook、Instagram、Microsoft、Apple、Twitter、Yahoo、Yandex などのサービスが、標的とされていると言われています。攻撃者は、メールサービスを標的として、メールアカウントやソーシャルメディアアプリケーションを制御し、それらのアカウントを乗っ取ります。そして、そのアクセス権をブラックマーケットを通じて販売し、攻撃の「現金化」を図るのです。
しかし、標的となると言われているサービスはこれだけではありません。これらのサービスははるかに価値があり、もし攻撃されれば、我々のコミュニティにとって紛れもない脅威となるため、意図的に記載することにします。
皆さんもよく知る GitHub、PyPI、RubyGems、npmjs のサービスもまた、攻撃対象と言われています。これらのコードやパッケージマネージャーは、上記サービスよりもはるかに大きな影響をもたらす可能性があります。一般的に攻撃者は、個人アカウントや機密データを乗っ取り、この情報を販売することを目的としています。多くの場合、機密性の高い財務データは、オンライン決済、クレジットカード、オンラインバンキングアプリケーションを標的とした攻撃の「現金化」のために使用されます。個人の電子メールやオンラインバンキングのアカウントを乗っ取ることは、各個人にとっては破壊的なダメージとなるでしょうが、コミュニティ全体に影響を与えることはありません。しかし、コードベースやパッケージマネージャに対する攻撃は、すべての人に壊滅的な影響を与える可能性があります。
今回の攻撃で想定される影響(実例をもとに記載)
ここ数カ月、アカウントの乗っ取りをきっかけとしたサプライチェーンへの攻撃が多発しています。以下はその例です。
- 2022年5月、人気の Python パッケージ ctx の所有者のメールアカウントが乗っ取られ、パッケージに悪意のあるアップデートを挿入するために使用され、その後 27,000回 ダウンロードされたことが判明しました。この悪意のあるコードは、SaaS や PaaS、クラウドアカウントなど、他のさまざまなサービスのアカウント乗っ取りにつながる環境変数を盗むために設計されていました。
- Aqua のセキュリティ研究チームである Team Nautilus は、最近 Travis CI の無料層ユーザのログデータがオンラインで容易に入手可能であり、出力されるログにはシークレットやトークンも含まれることを発見しました。GitHub、Docker Hub、SaaS、PaaS など様々なアプリケーションが危険にさらされていました。
- 2022年4月15日、GitHub は、攻撃者が Travis CI と Heroku に発行した OAuth トークンを盗み出し、特定のリポジトリにアクセスできたとする重大な警告を発しました。ほとんどの場合、攻撃者はユーザの全組織をリストアップしているだけであることがわかりました。その後、攻撃者はターゲットを選択し、関心のあるユーザアカウントのプライベートリポジトリをリストアップし、最終的にこれらのプライベートリポジトリのいくつかをクローンすることを進めました。
私たちにできることは何でしょうか?
クラウド開発の各段階におけるリスクレベルが上昇しているため、構築の各段階に応じたソリューションを提供できるクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)の利用を強く推奨します。Aqua Security は、様々なオープンソースソフトウェア(OSS)と商用ソリューションを提供しています。Chain-bench は、 CIS 準拠のソフトウェアサプライチェーンを監査できます。また、Aqua Trivy を使用して、コンテナ、クラウドアカウント、Kubernetes クラスター、コードベースのスキャンが可能です。ランタイムでは、別の OSS である Aqua Tracee を利用できます。これは、Linux 用のランタイムセキュリティおよびフォレンジックツールとして設計されており、Linux の一般的なセキュリティ問題へ対処するために構築されています。最後に、セキュリティチームが開発のさまざまな段階でサイバー攻撃を検出、防止するために設計された Aqua の CNAPP ソリューションにより、悪意のある要素のダウンロードや実行を防ぐ Drift Prevention や、実行時に悪意のある動作を検出するために設計された eBPF ベースのツール、CNDR(Cloud Native Detection and Response)などの強力なツールを利用できます。