Googleは6月4日(米国時間)、「The Cost of a Call: From Voice Phishing to Data Extortion|Google Cloud Blog」において、Salesforceインスタンスへの侵入を目的とするビッシング(音声フィッシング)キャンペーンについて注意を喚起した。

同社の脅威インテリジェンスグループ(GTIG: Google Threat Intelligence Group)は、このキャンペーンの脅威グループを「UNC6040」として追跡しており、今回はその攻撃手法、影響、緩和策について調査レポートを公開している。

  • The Cost of a Call: From Voice Phishing to Data Extortion|Google Cloud Blog

    The Cost of a Call: From Voice Phishing to Data Extortion|Google Cloud Blog

巧みなソーシャルエンジニアリング手法

公開されたレポートによると、UNC6040はSalesforceポータルへの接続アプリケーションを承認させる手法を使用して侵入したとされる。攻撃者はITサポート担当者になりすまして電話をかけ、被害者を言葉巧みに操作してSalesforceのデータローダーの改変版を承認させたという。

承認後はSalesforce顧客環境から不正アクセスやクエリーの実行などが可能になり、機密情報を窃取できるようになる。Googleは観察されたすべてのケースでこのビッシング手法を確認したとしている。

UNC6040は執拗に機密情報を窃取する傾向がみられ、機密情報の入手に成功した後もその情報から認証情報を抽出して被害者のネットワークを横移動し、OktaやMicrosoft 365など、他のクラウドプラットフォームからさらに多くの機密情報を窃取したとされる。

  • UNC6040の侵害経路 - 引用: Google(Mandiant)

    UNC6040の侵害経路 - 引用: Google(Mandiant)

Salesforceのデータローダー

攻撃者が悪用したデーターローダーはSalesforceが開発したデータ送受信アプリの改変版とされる。正規アプリおよび改変版はOAuthをサポートしており、Salesforceの「接続アプリケーション」機能を介してアプリのリンクが可能とされる。

攻撃者はこの機能を悪用し、被害者にSalesforce Connectページの「接続コード」を入力させ、攻撃者のデーターローダーをリンクさせることで侵入する。攻撃者は必ず被害者に「接続コード」を入力させる必要があり、防御側はこれを拒否することで被害を回避することが可能。

  • Salesforce Connectページ - 引用: Google

    Salesforce Connectページ 引用:Google

影響と対策

攻撃者の主な目的は経済的利益にあり、機密情報を窃取して身代金を要求するという。レポートによると身代金の要求は攻撃直後とは限らず、最初の侵入から数カ月後のケースもあり、別の脅威アクターと協力して活動している可能性もあるとされる。

この傾向から、現在侵害されている組織およびその下流の組織は、今後数週間または数カ月後に脅迫される可能性があると指摘している。Googleはこのような脅威から機密情報を保護するために、次の対策の実施を推奨している。

  • 最小権限の原則を遵守する。ユーザーには役割に応じた適切な権限があり、過不足を許容すべきではない。特にデーターローダーなどのアプリはフル機能の利用に「API有効化」権限が必要となることが多いため、この権限の割り当てを厳格にする必要がある
  • データーローダーを含む外部アプリケーションとSalesforce環境との連携を厳格に管理する。特に「アプリケーションのカスタマイズ」および「接続アプリケーションの管理」などの権限は、新しい接続アプリケーションの承認やインストールを許可できるため、信頼できる管理担当者に限定する必要がある
  • IPアドレス制限を導入する。攻撃者は商用のVPNを利用してアクセスすることから、ログイン範囲と信頼済みIPアドレスを設定することで攻撃を回避できる可能性がある
  • Salesforce Shieldの高度なツールを活用する。トランザクションセキュリティポリシーやイベント監視機能を追加することで、不審なアクティビティーの監視や検出が可能になる
  • 多要素認証(MFA: Multi-Factor Authentication)を導入する。Salesforceは「不正なアカウントアクセスに対する保護強化に不可欠かつ効果的なツール」と述べており、直接ログインには使用を必須としている。また、従業員には多要素認証疲労攻撃や多要素認証を回避するソーシャルエンジニアリング手法について教育する

UNC6040は過去数カ月の攻撃において、ネットワークへの侵入を繰り返し、成功しているとされる。ビッシングは新しい手法ではないが広く用いられており、Googleは現在も有効な脅威ベクトルとして評価できるとしている。

今後も同様の攻撃が継続すると推測されており、Salesforceサービスを活用している企業には、「Salesforceセキュリティ」の定期的な確認と、セキュリティのベストプラクティスの実践が望まれている。