NGOのアムネスティ・インターナショナルによると、ハッカーはペルシャ湾地域の政府によって雇われた集団だという。また、被害者の数は1000人を超え、その多くは中東やアフリカに在住の人権擁護活動家やジャーナリストだという。
ハッカーらは、パスワードに加えてその都度発行される認証コードを入力する「2段階認証システム」を突破していた。その手法はこうだ。まず、ハッカーはプロトンメールやトゥータノータのユーザーに対し、不信なアクティビティを検知したとして、パスワードを再設定することを促すメールを送り付ける。
ユーザーが指定されたURLをクリックすると、ハッカーが運営するウェブサイトが表示される。ウェブサイトのドメインは、「protonemail.ch」(本物には“e”がない)や「tutanota.org」(本物はtutanota.com)のように、本物に酷似している。ユーザーがユーザー名とパスワードを入力すると、その情報がハッカーの手に渡ってしまうというわけだ。
グーグルやヤフーのアカウントに対する攻撃は、さらに手が込んでいる。不審者を検知したとしてパスワードの変更をユーザーに促し、ユーザーがログイン情報を入力すると、ハッカーはユーザーの携帯電話に追加の認証コードを送付する。ユーザーは偽のページ上でそのコードを入力すると、新しいパスワードを設定するページに遷移する。
「わざわざ追加のステップを設けた理由は、本物のグーグルやヤフーのページ遷移を真似ることで被害者に疑念を抱かれなくすることだ」とアムネスティはレポートの中で述べている。
特筆すべきは、攻撃のプロセスが全て自動化されていたことだ。ハッカーらは、人力で情報を入力することなく、プログラムを実行するだけで攻撃を仕掛けることができたのだ。
2段階認証も決して安全ではない
「ハッカーは、ユーザーのパスワードを使ってアカウントにログインし、携帯電話に送られた2段階認証コードを入手し、パスワードの再設定を促すこと全て自動化した」とアムネスティは述べている。
アムネスティでサイバーセキュリティの調査を行っているClaudio Guarnieriによると、被害者の数は1500人に達し、フィッシングの規模としては稀に見る多さだという。「イラン以外でこれだけの規模のフィッシングを行った事例を見たことがない」とGuarnieriは話す。
今回ハッキングされたグーグルとヤフーのアカウントを保有するユーザーの大半は、UAE(アラブ首長国連邦)とエジプト、パレスチナに在住しており、その一部はムスリム同胞団と関わりがあることがアムネスティの調査で判明している。また、攻撃の中には、過去に「Citizen Lab」の研究者が公表した、UAE出身の反体制派に対して行われた攻撃に類似したものがあるという。
今回のような高度なフィッシング技術を用いた攻撃から身を守るためには、2段階認証を使用し、パスワードを再設定することを促す案内には疑念を抱くことが重要だ。URLをクリックして遷移したページが怪しければ、ハッカーによる攻撃である可能性が高い。