サイバー脅威の見積もり、できてるつもり? 辻氏、piyokango氏、根岸氏が3つのトピックで問い掛ける:ITmedia Security Week 2024 春
2024年5月29日、アイティメディア主催セミナー「ITmedia Security Week 2024 春」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「脅威の見積もり できてるつもり?」と題して講演した。「攻撃手順、手法の変化」「脆弱性の悪用傾向」「ありふれた不正アクセス事例で共通していた、ある“暗黙の了解”」という3つのトピックを取り上げ、サイバー脅威に対して正しい見積もりができている“つもり”状態を解消するためのヒントを探るパネルディスカッションとなった。
ITmedia Security Weekでもおなじみの3人は、これまでも繰り返し「変化を捉えよう」「足元の基本を固めていこう」とアピールし続けてきた。この延長線上で、今回のテーマを「脅威の見積もりができているか?」と設定する。見積もりができていると思っている人こそ、足をすくわれ、無駄な行動が増えてしまう可能性がある。適切な見積もりのヒントを、3人それぞれが注目することで浮かび上がらせようというのが今回の趣旨だ。本稿では、講演内容を要約する。
過信せずに攻撃手順、手法の変化を自らキャッチアップする必要性
まずは根岸氏が注目していた、ローコード開発ツールを提供するRetoolへの不正アクセス事例が取り上げられた。
2023年8月に明らかになった、Retoolのインシデントでは大きく3つのステップで攻撃者に侵入されている。
まずは従業員に対してSMS(ショートメッセージサービス)によるフィッシングが行われ、だまされてフィッシングサイトにIDを入力してしまった1人の従業員に対し、“電話”がかけられる。この電話によって2要素認証(MFA)のコードを聞き出し、Retoolが利用していたアイデンティティー管理サービスの「Okta」にログインできる状態にされた。ここまでがステップ1だ。
次のステップでは、Oktaを通じてGoogleアカウントにログインされる。そこで「Google Authenticator」アプリの“設定を復元”された。
最後のステップでは、復元した設定を元に、VPNを使って社内にアクセスされる。その際、MFAで要求されるワンタイムパスワードは、攻撃者の手元にある“設定が復元されたGoogle Authenticator”が使われている。
この流れは一見、よくある攻撃にも見えるだろう。しかし最終的には「地獄絵図」だ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
辻氏、piyokango氏、根岸氏はセキュリティレポートをどの“断面”で切り取るのか
2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、SBテクノロジー 辻伸弘氏、piyokango氏、インターネットイニシアティブ 根岸征史氏が「断面、光を当てて」と題するパネルディスカッションに登壇した。
「変わらない」と思い込んでるセキュリティの常識、実は変わってきてない? 根岸氏、辻氏、piyokango氏が問う
2023年8月に開催された「ITmedia Security Week 2023 秋」において、セキュリティリサーチャーであり、そしてポッドキャスト「セキュリティのアレ」で活躍する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、そしてpiyolog主宰のpiyokango氏の3人が集い、「脅威と人の変化と不変」と題してパネルディスカッションを行った。
「セキュリティのアレ」のリサーチャー3人が振り返る、「侵入されて当たり前」は本当に当たり前か?
ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、セキュリティリサーチャー3人によるパネルディスカッション「未来のための地固めを ここはもう令和なので」が行われた。インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏が集まり、“セキュリティの最新動向”とは少々異なるベクトルでの会話が繰り広げられた。