導入
ある企業で、ランサムウェア攻撃やデータ消去マルウェア、クラウド侵害ではなく、ソーシャルエンジニアリングによって従業員の給与が密かに消失していたことが明らかになりました。
攻撃者はファイアウォールを突破したりゼロデイ脆弱性を悪用したりする代わりに、最も脆弱な要素である運用プロセスとヘルプデスクのワークフローを標的にしました。
攻撃の手口
攻撃は電話から始まりました。正規の従業員になりすまし、攻撃者は給与、IT、人事の共有サービスを含む複数のヘルプデスクに連絡しました。その目的は、システムに直接侵入することなく従業員アカウントの制御を奪うことでした。質問応答や知識ベースの認証を悪用し、攻撃者はヘルプデスクの担当者を説得し、パスワードのリセットや多要素認証(MFA)デバイスの再登録を自身の有利なように実行させました。これにより、犯罪者は組織のIDシステム上、実質的に「従業員」として認識されることになりました。
公開情報がこの手口をさらに容易にしました。ソーシャルプラットフォームやプロフェッショナルネットワークから、攻撃者が認証質問に説得力をもって答えるのに十分な個人情報や業務関連の詳細が露出していました。繰り返し行われたコールバックの試みにより、攻撃者はどのような質問がされるかを試探査し、成功するまでストーリーを練り上げました。
並行して、攻撃者は組織のAzure ADのサービスアカウントの認証方法として、外部のメールアドレスを登録することで、長期的な永続化を図りました。これは、単一の給与サイクルを超えてアクセスを維持する意図を示していました。
給与の不正送金
有効な認証情報と機能するMFAを使用して、攻撃者は通常のユーザーと同様に給与システムにログインしました。マルウェアもエクスプロイトもなく、認証ログにも明らかな異常はありませんでした。侵入後、攻撃者は複数の侵害された従業員アカウントを素早く移動し、機密の給与記録にアクセスし、直接振込の詳細を密かに変更し、給与を自身が管理する銀行口座に送金させました。全てのログインが正当に見え、MFAチェックも通過したため、この活動は通常の業務に紛れ込み、技術的なアラートを回避しました。
発覚と調査
攻撃が発覚したのは、従業員が給与の未払いについて苦情を申し立ててからです。アカウント変更の内部レビューにより、数週間前の不審な更新が発見されました。法務顧問が関与し、このケースはUnit 42にエスカレートされ、本格的な調査とインシデント対応が行われました。
Unit 42はCortex XSIAMを展開し、給与・人事システムからのテレメトリと次世代ファイアウォールのログを集約・相関分析しました。この調査により、インシデントは給与の不正送金と標的型アカウント侵害に限定されており、コアネットワーク内での水平移動や大規模なデータ漏洩の明確な兆候はないことが確認されました。しかし、より広範な脅威ハンティングの結果、関連はないものの深刻な問題が明らかになりました。それは、レガシーOT環境内で進行中のWannaCry感染の証拠です。数年前に発生したこのランサムウェアは、大きなインシデントを引き起こすことなく運用システム内に密かに存続しており、監視されていないレガシー資産が長期的なリスクを抱えうるという厳しい警告となりました。
封じ込め、復旧、そして教訓
顧客と緊密に連携し、Unit 42は以下の支援を行いました。
- 侵害されたアカウントを封じ込め、不正な給与変更を元に戻す
- 影響を受けたクラウドIDの制御を再確立し、不正な認証方法を削除する
- ヘルプデスクの認証強化、MFAの登録・復旧フローの強化、Cortex XSIAMへのログ記録の改善、OTシステムにおけるWannaCryの足がかりの根絶に焦点を当て、ITおよびOT環境の双方を強化し始める
組織の迅速な対応と、攻撃者の限定的な金銭目的が相まって、最終的に影響は3つの従業員アカウントに限定されました。それでもなお、この事件は重要な傾向を浮き彫りにしました。それは、攻撃者が単一の技術的制御を侵害することなく、人間が操作するワークフローを悪用するだけで、大きな影響を与える詐欺やID乗っ取りを達成できるということです。
防御側にとっての教訓は明確です。ヘルプデスクや同様のID関連のやり取りは、あらゆる技術的な認証メカニズムと同等の厳格さで扱われなければなりません。統一された可視性、熟練したセキュリティチーム、厳格な検証手順が、次の給与が密かに別の場所へ送金されるのを防ぐために不可欠です。