米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は2021年1月中旬、クラウドサービスを狙ったサイバー攻撃が相次いでいるとして注意を呼びかけた。多要素認証を破られたケースもあったという。
セキュリティーの専門家は、「クラウドだから安全」と考えて適切な設定や運用を実施していない利用者が多いのが一因と指摘。安全性を高めるツールなどを用意しても利用者が使ってくれないとして、クラウドベンダーも苦慮しているとしている。
例えばあるクラウドベンダーは、「みなさんが思っているほどクラウドは安全ではありません」と“謝罪”して回る「Chief Apology Officer(最高謝罪責任者)」を用意しているほどだという。
テレワークの普及により重要度が増す一方のクラウド。利用している組織は十分注意する必要がある。
メールサービスが危ない
CISAは注意を呼びかけるリポートの中で、クラウド利用者を狙ったサイバー攻撃の具体例をいくつか挙げている。その1つがフィッシング詐欺だ。
メールを使ってクラウドサービスの偽のログインページに利用者を誘導し、ユーザーIDやパスワードといった資格情報を入力させて盗む。攻撃者は盗んだ資格情報を使い、その利用者になりすましてメールなどのサービスに不正アクセスする。
さらにそのアカウントを使って、同じ組織の別の利用者にフィッシングメールを送信する。攻撃者は過去のメールを盗み見できるし、フィッシングメールの送信元は同じ組織のアカウントなので受信者がだまされる可能性は高い。これを繰り返すことで、攻撃者は組織のアカウントを次々と乗っ取れる。
メールの転送ルールを変更される場合もあるという。攻撃者はクラウドのメールサービスの転送ルールを変更し、その組織に送られてきたメールすべてが攻撃者に送られるようにする。
転送ルールのフィルタリング機能を利用して、財務関連のキーワードが含まれるメールのみを転送する攻撃も確認されている。フィルタリングではスペルミスにも対応するという念の入りようだ。例えば「money」だけではなく「monye」もキーワードに含めるイメージである。
「Pass-the-Cookie攻撃」で破られる
CISAのリポートによると、多要素認証を使用していたアカウントも攻撃者によって不正にアクセスされたという。多要素認証とは、パスワードだけではなく複数の要素を用いる利用者認証方法である。
詳細については明らかにしていないが、「Pass-the-Cookie攻撃」が使われたとされる。Pass-the-Cookie攻撃とは、利用者認証のためにやりとりされるCookieを横取りして、正規の利用者になりすます攻撃だ。
