VPNへの不正侵入を狙う「ビッシング」、ワンタイムパスワードでも防げない

VPNへの不正侵入を狙う「ビッシング」、ワンタイムパスワードでも防げない
勝村 幸博 日経クロステック/日経NETWORK
https://xtech.nikkei.com/atcl/nxt/column/18/00676/090300057/

『米連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は2020年8月下旬、「ビッシング(vishing)」に関するセキュリティー勧告を合同で発表した。

FBIとCISAによるセキュリティー勧告
(出所:FBIとCISA)
[画像のクリックで拡大表示]

 ビッシングとは電話を使ったフィッシング詐欺。ボイスフィッシング(voice phishing)の略である。「音声フィッシング」などとも呼ばれる。一般的なフィッシングは偽メールなどを使うのに対して、ビッシングはユーザーに電話をかけて偽サイトに誘導し個人情報などを入力させる。

 ビッシング自体は新しくない。15年以上前から存在する手口だ。だが新型コロナウイルス禍でテレワークが一般的になっている現在、ビッシングが新たな脅威になっている。FBIとCISAは2020年7月中旬、米国のリモートワーカーをターゲットした大規模なビッシングキャンペーンを確認したという。一体、どのような手口なのだろうか。

狙いはVPNのパスワード
 従来のビッシングは主に銀行の口座情報を狙っていた。攻撃者は銀行の担当者を装って被害者候補に電話をして、偽のネットバンキングサイトなどに誘導。暗証番号などを入力させて盗む。

 偽の電話番号を記載した偽の銀行サイトを立ち上げて、被害者候補から攻撃者に電話をかけさせる手口もある。ビッシングの逆になるので、リバースビッシングとも呼ばれる。

関連記事:電話を使ったフィッシング詐欺、リバースビッシングに要警戒

 だが最近のビッシングの標的は、企業のVPN(仮想私設網)にログインするためのパスワードだ。コロナ禍により、現在では多くの企業がVPNによるテレワークを導入している。VPNはテレワークの要。インターネットと社内LANの境界に設置されたVPN製品を突破されると、社内の機密情報を盗まれてしまう。

 しかもテレワークでは対面での確認が難しくなり、電話やビジネスチャットなどに頼らざるを得なくなっている。攻撃者はそこに目を付けた。電話を使って偽のVPNログインサイトに誘導し、ログインに必要なパスワードなどを盗むのだ。

 FBIとCISAのセキュリティー勧告によると、攻撃の手順は次の通り。

 攻撃者はまず、標的とする企業の偽のVPNログインサイトを作成する。正規のサイトと思わせるために、それらしいドメインを取得するのが常とう手段のようだ。具体的には以下のようなドメインを使用する。[company]には標的とした企業の名称が入る。

support-[company]
ticket-[company]
employee-[company]
[company]-support
[company]-okta
 最後の「okta」とはID管理サービスの最大手である米Okta(オクタ)を指す。

関連記事:ID管理の米オクタが日本法人を設立、幅広いサポートを提供へ

 著名なセキュリティー研究者であるブライアン・クレブス氏は同氏の公式ブログで実例をいくつか挙げている。

 例えば、米Bank of America(バンク・オブ・アメリカ)や米AT&Tの社員を狙ったと思われる「bofaticket.com」および「helpdesk-att.com」を確認しているという。

米Bank of Americaの社員を狙ったと思われる偽サイト
(出所:Kreb on Security、urlscan.io)
[画像のクリックで拡大表示]
米AT&Tの社員を狙ったと思われる偽サイト
(出所:Kreb on Security、urlscan.io)
[画像のクリックで拡大表示]

怪しまれないために、偽ログインサイトのサーバー証明書を取得することも忘れない。つまり、該当ページのURLは「https」で始まり、Webブラウザーには鍵マーク(錠マーク)が表示される。

 加えて、ログインサイトの見た目も偽装する。企業が用意する正規のVPNログインサイトはインターネットからアクセス可能で、URLも推測可能なケースが多い。攻撃者は正規サイトにアクセスして画像などをコピーし、見た目をそっくりにする。

 次に攻撃者はターゲットになる社員を探す。SNS(交流サイト)で公開しているプロフィルやリクルートおよびマーケティングのツール、人物のバックグラウンドをチェックするツールなどを使って、標的企業の社員に関する情報を集めるという。

 FBIとCISAによると、その情報には社員の名前や自宅の住所、個人の携帯電話番号、所属や肩書、在籍期間といった情報が含まれているとする。

 攻撃者はこれらの情報を使って標的とした社員に電話をかけて、VPNのログインページが変更したこととそのURLを伝える。その際、攻撃者はその企業のIT部門やヘルプデスクのメンバーを装う。

 慌てた社員が偽のログインページにアクセスしてユーザーIDとパスワードを入力すると、それらは攻撃者に盗まれる。

新入社員が狙われる
 「ウチではユーザーIDとパスワード以外にワンタイムパスワードも必要なので大丈夫」と安心したあなた。大間違いである。この攻撃は、被害者と正規のログインサイトの間に偽サイトが割り込む中間者攻撃なので、ワンタイムパスワードは通用しない。

 被害者が偽サイトでユーザーIDとパスワードを入力すると、偽サイトはそれらを正規のログインサイトに送信する。正規サイトは被害者にワンタイムパスワードをメールやSMSで送信。受信した被害者はワンタイムパスワードを偽サイトに入力する。

 攻撃者はそのワンタイムパスワードを使ってVPNにログイン。社内ネットワークに侵入し、金銭的価値が高そうな情報やさらなるビッシングに使えそうな情報を盗む。

 想像してほしい。あなたがVPNに頼るテレワーカーだとする。ある日、あなたの携帯電話にIT部門やヘルプデスクを名乗る人から連絡がある。自分の所属や肩書を確認されたうえで、現在のVPNはまもなく使えなくなるから別のVPNを紹介すると言われる。

 紹介された別のVPNログインサイトにアクセスすると、ドメイン名はそれらしく、HTTPSで接続されている。ここで、ユーザーIDとパスワードを入力しないでいられるだろうか。筆者にはその自信はない。クレブス氏の公式ブログによると、この手口の成功率は高いようだ。

 ポイントはメールではなく電話であることだと思う。メールで「VPNのサイトが変わりました」と送られてきたら、多くの人は警戒するだろう。だが、自分のことを知っていると思われる人から電話がかかってきたら、信用してしまう可能性が高い。

 テレワークの普及により、VPNユーザーが爆発的に増えていることも攻撃者にとってのメリットだ。攻撃がうまくいかなかったらターゲットを変えればよい。現在では攻撃できる対象、すなわちアタックサーフェス(attack surface)が増えているため、攻撃が成功する可能性が高まっている。

 加えてクレブス氏の情報によると、新入社員がターゲットになっているらしい。ベテランなら、「何十年間もいるが、こんな電話がかかってきたことはない」と怪しむ余地があるが、新入社員なら「こんなものか」と受け入れる可能性が高い。

端末認証と周知が有効
 国内では被害が確認されていないが、対岸の火事ではない。国外でうまくいった手口は必ずといってよいほど国内に持ち込まれるからだ。

 対策としてFBIとCISAは、ワンタイムパスワードといったユーザー入力だけではVPNにアクセスできないようにすることを第一に挙げている。デジタル証明書やハードウエアトークン、インストールされているソフトウエアのチェックなどで、アクセスしようとしている端末も認証する。これならば、今回のような中間者攻撃を防げる。

 企業向けの対策としては、このほかに「侵入された場合でも被害が拡大しないようにVPNのアクセス時間を制限する」「自社ドメインに似た偽サイトを作られないように、新たに取得されたドメインを監視する」「不正なアクセスや変更がないか、Webアプリケーションをアクティブにスキャンして監視する」などを挙げている。だが、いずれも実現可能性や費用対効果に疑問がある。端末認証の併用が最適解だと思う。

 エンドユーザーの対策としては、「正規のVPNログインページのURLをブックマークして、電話で代替URLを伝えられてもアクセスしない」「知らない人からの電話や訪問、メールを信用しない」といったことを挙げている。とはいえ、これらが難しいことは歴史が証明している。

 とにかく、今回紹介したような手口が存在し、実際に被害が発生していることを周知することがエンドユーザー向けの対策としては最も有効だろう。』