コミュニケーションプラットフォーム大手のTwilioが2022年8月初旬にハッキングによる情報流出があり、163のアクティブなアカウントに影響が及んだことを明らかにした。Twilioのアクティブユーザー数は27万人であり、そのうち「0.06%」に相当する数字はほんのわずかに思えるかもしれない。だが、デジタルエコシステムにおけるTwilioの特殊な役割を考えると、そのほんの一部の被害者が桁外れの価値と影響力をもっていたと言える。セキュリティを確保したメッセージアプリのSignal、二要素認証アプリのAuthy、認証サービスのOktaはすべてTwilioの顧客であり、今回の情報流出の二次被害を受けているのだ。
Twilioは、企業が通話やテキストサービスを自動化できるAPI(アプリケーション・プログラミング・インターフェース)を提供している。Twilioを利用すれば、例えば床屋が顧客にヘアカットのスケジュールを通知し、顧客が「確認」または「キャンセル」をメッセージで返信するシステムをつくれる仕組みだ。
これ以外にも、テキストメッセージでワンタイムパスワードを送信することで二要素認証システムを管理できるプラットフォームとしても利用できる。SMSがワンタイムパスワードの受信方法として安全ではないことは以前から知られていたが、何もしないよりはましであることは間違いなく、企業はこの方法から完全に抜け出すことはできていない。認証コード生成アプリを主力商品とするAuthyのような企業でさえ、Twilioの一部のサービスを利用している。
Twilioが標的となったハッキング(攻撃者は「0ktapus」や「Scatter Swine」と呼ばれている)は、フィッシング攻撃によって標的となったネットワークへの貴重なアクセスを攻撃者に提供するだけではない。ある企業のシステムへのアクセスを経由して、その顧客のシステムへと侵入する「サプライチェーン攻撃」を始めることさえできることを示す点で深刻だ。
「これは史上最も巧妙な回り道をするハッキングのひとつとして語り継がれることになると思います」と、あるセキュリティエンジニア(雇用主がTwilioと契約しているという理由で匿名希望)は語っている。「非常に的を絞ったものでありながら、広範囲に及ぶ忍耐強いハッキングでした。多要素認証に圧勝し、世界に圧勝したのです」
フィッシング攻撃に使われたSMS
攻撃者は、大規模でありながらカスタマイズされたなフィッシング攻撃を130を超える組織に展開し、その一環としてTwilioに不正アクセスした。
まず最初に攻撃者は、標的となる企業の従業員にフィッシング攻撃サイトへと誘導するSMSのメッセージを送信した。このメッセージは企業のIT部門や物流チームになりすまし、リンクをクリックしてパスワードを更新するか、ログインしてスケジュールの変更を確認するよう受信者に促す内容のものが多い。
Twilioによると、悪意あるURLには「Twilio」「Okta」「SSO」といった単語が含まれており、URLやリンク先の悪意あるランディングページをより正当なものに見せかけていたという。インターネットインフラ企業であるCloudflareもこのフィッシング攻撃の標的になっていたが、同社は8月初めに従業員によるアクセスの制限とログインに物理セキュリティによる認証を使用していることから、攻撃を阻止できたと発表している。
「今回のフィッシング攻撃で最も重要なことは、最初の攻撃の入り口に電子メールではなくSMSが使われたことでしょう」と、セキュリティ企業Abnormal Securityの脅威インテリジェンス担当ディレクターで、元FBIのデジタル行動分析官のクレイン・ハッソルドは指摘する。「最初の標的に電子メールを使わない攻撃が増え始めています。組織内でテキストメッセージによるアラート通知が普及していけば、この種のフィッシング攻撃メッセージはより成功しやすくなるでしょう。ちなみに、わたしは取引しているさまざまな企業から四六時中テキストメッセージを受け取るようになりましたが、1年前はそうではありませんでした」
ハッカーは、Twilioのアカウントへの不正アクセスを利用して93のAuthyのアカウントに不正アクセスし、アカウント所有者ではなく攻撃者が制御するデバイスを追加登録した。Authyには全体で約7,500万人のユーザーがいる。
これに対してTwilioの情報流出により、暗号化通信アプリ「Signal」の1,900のアカウントが流出する可能性がある。攻撃者は実際にTwilioへのアクセスを利用して、最大3つのSignalアカウントの乗っ取りを開始したようだ。
Signalの設計上、攻撃者はユーザーのメッセージ履歴や連絡先リストにアクセスすることはできない。だが、Signalのアカウントを不正利用できる間はユーザーになりすまし、メッセージを送信することは可能だっただろう。
こうしたなかオンラインフードデリバリーサービスのDoorDashが、サードパーティのサービスプロバイダーのひとつが侵害されたことで、同社の内部システムの一部とユーザーデータに不正アクセスがあったと8月25日(米国時間)に発表している。「調査の結果、このサードパーティーベンダーが巧妙なフィッシング攻撃によって不正アクセスされたと判断しました」と、DoorDashはコメントを出している。「不正アクセス者は、このベンダーの従業員から盗んだ認証情報を使って当社の内部ツールの一部にアクセスしたのです」
マーケティング自動化プラットフォームのMailchimpも、同じく8月に従業員に対するフィッシング攻撃があったと発表している。
巻き添え被害の規模が拡大する?
サイバーセキュリティ企業のGroup-IBの調査チームは、今回のフィッシング攻撃の被害者と思われる136の組織を特定し、通知したとする報告書を8月25日に発表した。このうち114社の被害企業が米国に拠点を置いている。そして標的の大半が、クラウドサービスやソフトウェア開発会社、またはIT管理会社だったことも明らかになった。
今回のフィッシング攻撃は、大口顧客にログイン認証の構成要素などの重要な支援を提供しているインターネットインフラや業務管理サービスに焦点を当てた。つまり、被害を最大化するために慎重に標的を絞ったものと考えられると、調査チームは分析している。
Twilioは8月10日のブログ投稿で、「今回のインシデントに関しては、非常に遺憾であると考えております」と記している。「弊社はお客様からの信頼を最重要事項と捉え、当社のシステムとネットワークのセキュリティは、お客様の信頼を獲得し維持するための重要な要素であると認識しています」
フィッシング攻撃は長年にわたり慢性化した脅威であり、結果として大きな損害をもたらしてきた。2016年のロシアによる米民主党全国委員会への攻撃など、世界中で大きな損害をもたらす多くの不正アクセスで片棒を担いできたのである。この傾向の次の段階がフィッシング攻撃を火種としたサプライチェーン攻撃であれば、巻き添え被害の規模はかつてないほど拡大することになるだろう。
(WIRED US/Edit by Daisuke Takimoto)
※『WIRED』によるセキュリティの関連記事はこちら。
毎週のイベントに無料参加できる!
『WIRED』日本版のメンバーシップ会員 募集中!
次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。毎週開催のイベントに無料で参加可能な刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら。