従業員を標的にした認証サービスに対するスミッシングについてまとめてみた - piyolog

2022年8月7日、米国のクラウドコミュニケーションプラットフォームサービスを提供するTwilioは従業員がスミッシングによるアカウント侵害を受け、その後に同社サービスの顧客関連情報へ不正アクセスが発生したことを公表しました。また、Cloudflareも類似の攻撃に受けていたことを公表しました。ここでは関連する情報をまとめます。 米国2社が相次ぎ公表 TwilioとCloudflareは、従業員に対し、何者かがIT管理者からの通知になりすましたSMSを送り、記載されたURLからフィッシングサイトへ誘導される事例が発生したことを報告。 2022年8月7日 Twilio Incident Report: Employee and Customer Account Compromise 2022年8月10日 Cloudflare The mechanics of a sophisticated

[napsucks]

TOTPまで突破してくるとか恐ろしすぎる。

[K-Ono]

我々一般のモンはアドレスバーを逐一見るという方法しかなすすべがないんよね。

[sin20xx]

Cloudflares流石に世界トップのテック企業という感じ。日本だとまだまだFIDO2に準拠したセキュリティキーを全従業員に配布している事例はテック企業でも少なくここまでの担保はないから。日本でも今後整備が進んで欲しい

[s_nagano]

“人間は間違いを犯すもので適切に報告を行い、隠蔽をしないということが非常に重要”

[hdkINO33]

“CloudflareはTOTPを用いた認証ではなく、YubikeyなどのFIDO2に準拠したセキュリティキーを全従業員に発行しており、攻撃者は盗み取った資格情報だけではこのセキュリティキーの認証を回避することが出来なかった。”

[teppeis]

単なる2FAではなくフィッシング耐性が求められるようになってる

[gfx]

(Cloudflareの場合は) "YubikeyなどのFIDO2に準拠したセキュリティキーを全従業員に発行しており、攻撃者は盗み取った資格情報だけではこのセキュリティキーの認証を回避することが出来なかった"

[kuenishi]

スマホではもうMFAにはならないということがなんとなくだけど分かった

[banchome]

“スミッシング”

[l__LINE__l]

Cloudfareはある程度想定してたっぽい動きかな。流石に何の準備もなく1時間での対応は無理でしょ

[t1mvverr]

TOTPでも、不正に取得したワンタイムパスを攻撃者がすぐに使えばログインできてしまうリスクがあるって事かな

[f_75asa]

これは引っかかりそう パスワードマネジャーでドメインと紐づけないとと危ういな

[tuka8s]

Cloudflare対応早い。twilioはどうだったのだろう

[boxshiitake]

cloudfrareの対応速度がすごい。攻撃の認識まで2分。注意喚起まで10分。

[punychan]

ブラウザの自動入力を使っていれば、挙動が変わるから気付いて防げるんじゃないの？それとも自動入力も突破されるほどの何か？あるいは自動入力を禁止してた？

[versatile]

TOTPどうやって対応したんや

[ya--mada]

twillio、cloudflare 以外にも狙われてると思うが、週明けには他社からもリリースやニュースが出てくるのだろうか？サイバー脅威情報会社は鋭意収集中でしょうか？

[retore]

突破してくる攻撃者すごいがCloudFlareの対応速度バケモノで笑った

[kuborn]

YubiKey 強い

[diveintounlimit]

これは無理ゲー

[hiroomi]

恐ろしいドメインだこと。***.okta.comだとあそこも採用してるよね。アプリで片付けてるようだけど。

[boomerangj]

メールとかSMSとか、誰でも送信できる仕組みをやめていきたい

[Shinwiki]

入口は相変わらず原始的。遡れば結局Outlook-expressの罪はでかい。という印象。MSがやらなきゃ別のどっかがやったろうけど。

[toaruR]

引っかからない自信がない(ノ∀`)

[skycrawler333]

毎回こういうまとめ大変ありがたいです。ありがとうございます。