Source: https://www.securityweek.com/russian-hackers-bypass-gmail-mfa-with-app-specific-password-ruse/
🛡 概要
ロシア政府に関連するプロのハッキングチームが、Googleのあまり知られていない「アプリパスワード」機能を悪用した新しいフィッシング手法を用いて、二要素認証を回避する手口が明らかになりました。この攻撃は、米国国務省の職員を装った巧妙なメールを通じて、特定のターゲットに対して行われました。
🔍 技術詳細
Googleの脅威インテリジェンスグループによると、攻撃者は「UNC6293」として追跡されており、APT29に関連付けられています。このグループは、2016年の民主党全国委員会の侵害に関与したとされているロシアの情報機関です。調査によると、攻撃者はターゲットを数週間かけて育成し、アプリパスワード機能に関する詳細な指示を送信しました。
「これは高度に洗練された攻撃であり、偽のアイデンティティや資料の準備が必要でした。」
一例として、英国の作家キア・ジャイルズに対して行われた攻撃では、偽の国務省のレターヘッドを用いたPDFが送信され、ターゲットは「ms.state.gov」とラベル付けされた16文字のアプリパスワードを生成し、メールで送信するよう指示されました。
⚠ 影響
この攻撃により、ターゲットのGmailアカウントは二要素認証なしで持続的にアクセスされることとなりました。Citizen Labによると、攻撃者は言語の不自然さを避けるために生成AIツールを使用した可能性があります。このような高度な手法によって、一般のユーザーでも不審な点に気付くのは難しいでしょう。Googleは、この攻撃によって影響を受けたアカウントをロックし、すべての盗まれたパスワードを無効にしました。
🛠 対策
GoogleとCitizen Labは、著名なターゲットに対して、Googleの高度な保護機能への登録を推奨しています。さらに、アカウントの監査を行い、残存するアプリパスワードがないか確認することが重要です。このような攻撃から身を守るためには、信頼できる情報源からの指示に従い、不審なメールには注意を払う必要があります。
