概要
オンラインデーティングサービス大手Match Groupは、Hinge、Tinder、OkCupid、Matchといった複数の人気サービスにおいて、ユーザーデータが侵害されたサイバーセキュリティインシデントを確認しました。
同社は、脅威グループShinyHuntersが、Hinge、Match、OkCupidのユーザー情報約1,000万件と内部文書が含まれるとされる1.7 GBの圧縮ファイルをリークした後に、限られた量のユーザーデータがハッカーによって盗まれたと述べています。
インシデント詳細と攻撃手法
Match Groupの広報担当者はBleepingComputerへの声明で、インシデントを認め、「当社はユーザーの安全性とセキュリティを真剣に受け止めており、不正アクセスを終了させるために迅速に対応しました」と述べています。
外部専門家の協力を得て調査が進行中であり、現時点ではハッカーがユーザーのログイン認証情報、財務情報、またはプライベートな通信にアクセスした兆候はないとのことです。「このインシデントは限られた量のユーザーデータに影響を与えたと考えており、すでに適切に個人への通知を進めています」とMatch Groupは説明しています。
Match Groupは年間収益35億ドルを誇り、全アプリのアクティブユーザー数は8,000万人以上と推定されるオンラインデーティング業界の巨人です。
このインシデントは、ShinyHuntersがOkta、Microsoft、Googleのシングルサインオン(SSO)アカウントを標的とした新しい音声フィッシング(vishing)キャンペーンの一環であると指摘されています。
BleepingComputerの情報によると、攻撃者は「matchinternal.com」というフィッシングドメインを使用し、Okta SSOアカウントを侵害した後にデータを盗み出しました。これにより、同社のAppsFlyerマーケティング分析インスタンス、Google Drive、Dropboxのクラウドストレージアカウントへのアクセスを許してしまったとされています。
ハッカーは、盗んだデータには個人を特定できる情報(PII)が含まれるものの、その量は「多くなく」、ほとんどが追跡情報であると述べています。
セキュリティ強化のための推奨事項
このようなソーシャルエンジニアリングに基づく攻撃に対する防御策として、専門家は以下の対策を推奨しています。
- フィッシング耐性のある多要素認証(MFA)への移行:MandiantのCTOであるCharles Carmakal氏は、プッシュベースやSMS認証とは異なり、FIDO2セキュリティキーやパスキーのようなフィッシングに強いMFAを強く推奨しています。
- 厳格なアプリ認証ポリシーの実装:管理者は、異常なAPIアクティビティや不正なデバイス登録を監視するために、厳格なアプリ認証ポリシーを導入すべきです。
- Okta FastPassやパスキーの利用:Oktaの脅威リサーチャーであるMoussa Diallo氏は、冗長性のためにOkta FastPassやパスキーにユーザーを登録することを推奨しています。
- ネットワークゾーンやテナントアクセス制御リストの設定:脅威アクターが好む匿名化サービスからのアクセスを拒否するために、ネットワークゾーンやテナントアクセス制御リストを設定することで、ソーシャルエンジニアリング攻撃を防ぐことができます。
また、Monzo Bankや一部の暗号通貨取引所では、公式モバイルアプリ内でユーザーが正規の担当者と電話で話していることを確認できる「ライブ発信者チェック」をテストしていると報じられています。