狙われるITヘルプデスク
米国の保健セクターサイバーセキュリティ調整センターから警告レポートが発行されています。
どのような手口なのでしょうか。
- 情報を準備する
攻撃者は侵害に使用する個人情報を準備します。
この情報はなんらかのイニシャルアクセスブローカーから入手します。 - 電話をかける
攻撃者は狙った会社のITヘルプデスクに電話します。
準備した個人情報の本人を装い、言葉巧みに会話を展開し、用意した個人情報が有効であることを確認します。 - MFAの追加登録を依頼する
攻撃者は困った人を装います。
業務を実施するために必要なスマートフォンが故障して困っていると主張します。
今日中に処理を完了しなければ大変なことになるのです、といった具合でしょうか。
説得がうまくいくと、攻撃者のスマートフォンはなりすまされている人の本人であることを確認することのできる認証デバイスとなってしまいます。 - 変更を開始する
この段階で攻撃者はなりすました人のメールを読むことなどができる状態になっています。
なりすまされている人は、財務部門の人です。
攻撃者は取引先の各種システムに対し、送金先口座の変更依頼を行います。
この手口の主要な部分は、ほぼソーシャルエンジニアリングで構成されています。
攻撃を実施するタイミングによっては、この攻撃は短い期間で非常に大きな事態になります。
この手法の効果は絶大です。
AIによる音声クローンを利用されるなどという危険も現実的なものとなってきています。
これをやれば大丈夫というものを想定することは難しそうです。
本人確認の中でうまくコールバックを利用するなど、本人確認の確からしさを向上させていくことがポイントになってきそうです。
このケースのような具体的な内容を含むケーススタディを使った従業員教育が重要ということなのでしょう。
困っている人を助ける人を困らせる、困ったものです。
参考記事(外部リンク):HC3: Sector Alert : Social Engineering Attacks Targeting IT
Help Desks in the Health Sector
www.hhs.gov/sites/default/files/help-desk-social-engineering-sector-alert-tlpclear.pdf
