“ソーシャルエンジニアリング”と呼ばれる手法を用いたこれらの攻撃は、ターゲットの企業の従業員を騙してログイン情報を入手し、侵入するもので防御が難しいとされている。
「TeaPot」と名乗るこのハッカーは、ウーバーに侵入した際と同様に、ロックスター・ゲームス社員のログイン情報を入手して社内のSlack上のメッセージと、未発表のゲームの初期コードにアクセスしたと主張している。
今回のハッキングの詳細は不明だが、ウーバーの場合、ハッカーは社内のIT担当者になりすまし、従業員にログイン情報を共有させたと主張している。企業のセキュリティの欠陥を突く他の攻撃方法とは異なり、ソーシャル・エンジニアリングは人を標的とする攻撃だ。
セキュリティの専門家は、人間は簡単に騙されて悪意のあるリンクをクリックしたり、ログイン情報を教えたりしてしまうため、「最悪のセキュリティホール」になる危険性があると指摘している。この手法であれば、ワンタイムパスワードや多要素認証のような高度なセキュリティ対策も簡単に突破できてしまう。
ソーシャルエンジニアリングは、近年、いくつかの有名なハッキングに利用されており、2020年7月に発生したツイッターに対する攻撃でも、この手法が用いられた。犯人の当時17歳の少年は、ジョー・バイデン大統領候補(当時)やバラク・オバマ、ビル・ゲイツ、イーロン・マスクなどの著名人や企業のツイッターアカウントを乗っ取り、ビットコインによる送金を促す詐欺のメッセージを表示していた。
先月は、CloudflareとTwilioの2社が、ソーシャル・エンジニアリング攻撃の一種であるフィッシング攻撃を受けていた。Twilioは、ハッカーが社内のデータベースに侵入し、顧客アカウントにアクセスすることに成功したことを明らかにした。しかし、コンテンツ配信ネットワークのCloudflareは、ハッカーが内部ネットワークにアクセスすることはできなかったと発表した。
Cloudflareはハードウェアベースのセキュリティキーを使用しているため、侵入を回避することができた。他の認証方法とは異なり、ハードウェアセキュリティキーはソーシャルエンジニアリング攻撃に対してより安全性が高いことで知られている。ハードウェア・セキュリティ・キーには、USBスティックやBluetoothドングルなどさまざまな形態があり、保護されたアカウントにアクセスしようとするデバイスにプラグインするか接続する必要がある。
2018年にグーグルは、ハードウェアセキュリティキーの使用を義務付けた結果、8万5000人の社員らが過去1年間に1人もフィッシング攻撃の被害に遭わなかったと発表していた。
(forbes.com 原文)
