piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Coinbaseが受けたソーシャルエンジニアリングについてまとめてみた

2023年2月17日、米国の暗号資産取引所 Coinbaseは、従業員に対してソーシャルエンジニアリングによるサイバー攻撃が行われ、従業員情報の一部が窃取されたことを明らかにしました。ここでは関連する情報をまとめます。

従業員を標的にしたスミッシング

Social Engineering - A Coinbase Case Study

  • 2023年2月6日(日)深夜にCoinbaseの複数の従業員の携帯電話宛にSMSが届いた。SMSの内容はメッセージ受信には記載されたURLから緊急的にログインする必要があるというもの。
  • 大多数の従業員はこのメッセージを無視したが、1名はメッセージの内容を信じ、URLをクリックしユーザー名、パスワードの入力を行ってしまった。攻撃者が用意したと思われるフィッシングサイトへのログイン(認証情報の入力)後は、当該メッセージを無視するよう要求される内容となっていた。
  • 攻撃者は窃取した正規の認証情報を使用してCoinbase内部ネットワークへの接続を複数試行したが、多要素認証が求められたことから接続は成功しなかった。
  • Coinbaseは、今回の手口について、2022年夏ごろに話題となったOktapusとGroup-IBが呼称する攻撃キャンペーンとの関連があると指摘。

piyolog.hatenadiary.jp

スミッシング20分後にIT部門になりすまし従業員へ架電

  • スミッシングによる攻撃試行から約20分後、攻撃者はCoinbaseのIT部門の所属であると自称し、従業員へ架電した。
  • 電話の内容は従業員に対応の支援を求めるもので、従業員は自身のワークステーションにログインし、IT担当者になりすました攻撃者からの指示に従ってしまった。この電話のやり取りを経て、一部従業員の氏名やメールアドレス、電話番号などの連絡先情報が窃取された。攻撃者からどのような指示があったのかは公表されていない。*1
  • CoinbaseのCSIRTは、警告を発したSIEMを通じて、不審なアクティビティの発生に攻撃が行われてから10分以内に問題を把握。Coinbaseで使用しているメッセージングシステムを通じて被害に遭っている従業員と連絡を取り、従業員のアカウントで生じた異常な動作や利用ケースについて質問を行った。当該従業員は問題の存在に気づき、攻撃者との通信を即座に終了した。
  • Coinbase CSIRTは、直ちに被害に遭った従業員のアカウントの停止の上、完全な調査を行った。
Coinbaseが受けた攻撃の手口

今回のインシデントでCoinbaseが得た教訓

  • Coinbaseは、今回のインシデントによる顧客情報や資産への影響はなかったとしつつ、まだ学ぶべき教訓があるとして、セキュリティ上の問題を共有することでコミュニティ全体がより安全になり、セキュリティへの意識が高まると信じているとコメントしている。
Coinbaseが教訓として示した内容は以下のもの。

① ソーシャルエンジニアリング

  • 巧妙なソーシャルエンジニアリングキャンペーンに対して、自分は騙されないと考えるのは危険。適切な状況下にあっては、大半の人がこのソーシャルエンジニアリングによる攻撃の被害者になり得る恐れがある。
  • 特に直接接触が試みられる攻撃は注意が必要。攻撃者が直接電話やSNSを通じて対象へ連絡を行ってくるもので、場所も職場や自宅にいる場合でも発生する。手口自体は過去から悪用されているが、いまだ有効であり様々な場面で攻撃者が好んで利用する戦術。

② 今回の件を受けての再発防止

  • Coinbaseは再発防止のためにはシンプルにトレーニングの問題としたいと願望?を述べる一方で、どれだけ注意深く熟練し、事前に備えていたとしても全ての人が騙される恐れがあることを念頭に置き、この状況から、常に問題となる事態が生じることを前提に取り組む必要があると説明。

③ インディケーター情報
次の痕跡がないか、ログやSIEMから調査を行うよう推奨している。

  • 次のURLに対しての接続

sso-(組織名を示す文字列).com
(組織名を示す文字列)-sso.com
login.(組織名を示す文字列)-sso.com
dashboard-(組織名を示す文字列).com
(組織名を示す文字列)-dashboard.com

  • リモート接続ソフト(AnyDesk、またはISL Online)のダウンロードやその試み
  • サードパーティ製のVPNプロバイダー(特にMullvadVPN)から自社に対して接続しようとする試み
  • 次の方法を使用した電話やテキストメッセージの着信

Google Voice
Skype
Vonage/Nexmo
Bandwidth dot com

  • 意図せずブラウザ拡張機能(EditThisCookie)をインストールしようとする試み

更新履歴

  • 2023年2月21日 AM 新規作成

*1:詳細な攻撃の手口の説明において、リモートコントロールソフト(AnyDeskなど)の名前が上がっていることから、これらをインストールするよう促された可能性がある。