Source: https://www.bleepingcomputer.com/news/security/can-i-have-a-new-password-please-the-400m-question/
🛡 概要
クローラックス社は2023年8月、攻撃者によるパスワードリセット攻撃を受け、大規模な損害を被りました。攻撃者は、サービスデスクに電話をかけ、従業員を装ってパスワードとMFAのリセットを要求しました。このシンプルなソーシャルエンジニアリング手法が、約3億8千万ドルの損害を引き起こしました。クローラックスは、攻撃がどのように展開されたのか、第三者サービスデスクのセキュリティをどう強化するかを解説します。
🔍 技術詳細
攻撃者は、サービスデスクのエージェントに対して、冷静かつ脚本通りの電話をかけることで、正当なユーザーの行動を模倣しました。クローラックスの訴訟によると、エージェントは、適切な認証を行わずにパスワードとMFAのリセットを実行しました。この手法は、CVEやCVSSに関連する特定の脆弱性を利用したものではありませんが、エージェントの判断を誤らせる要因として、プロセスの不備が挙げられます。
⚠ 影響
この攻撃により、クローラックスは生産システムを一時停止し、製造の中断や手動での注文処理を余儀なくされました。この結果、売上高の減少やフォレンジックコストが発生し、合計で数億ドルの損失となりました。この事件は、パスワードリセットの不正行為がいかに深刻な影響を及ぼすかを示すものです。CISAは、同様の攻撃パターンが見られることを警告しており、特に委託されたヘルプデスクが狙われやすいことを指摘しています。
🛠 対策
ヘルプデスクのパスワードリセットは特権操作として扱うべきです。以下の5つのステップを実施することが推奨されます。1. リモートリセットにはアウトオブバンドの確認を必須とする。2. 高リスクのリセットには二人の承認を必要とし、自動的にマネージャーに通知する。3. 一時的な特権セッションを使用し、長期的な管理者セッションは検出時に取り消す。4. すべてのリセットを不変の監査トレイルに記録し、異常なパターンを監視する。5. 検出をルールに翻訳し、高信号イベントを自動的にトリガーする。これらの対策を講じることで、組織はリスクを軽減し、セキュリティを向上させることができます。
