is702
ニュース

認証用プロトコル「OAuth」を悪用する事例に注意

2017/05/13

トレンドマイクロは5月11日、公式ブログで「『Pawn Storm作戦』、巧妙なソーシャルエンジニアリング攻撃にOAuthを悪用」と題する記事を公開しました。ここ数年にわたって続いている標的型サイバー攻撃キャンペーン「Pawn Storm作戦」について、あらためてその手法を分析しています。

「Pawn Storm作戦」を行っているサイバー犯罪者たちは、標的から情報を窃取するため、さまざまな手法を用いますが、認証情報を狙ったフィッシング攻撃でよく知られています。2015年から2016年にかけては、無料メールを利用する重要人物が標的となりましたが、このケースでは認証用プロトコル「OAuth」を悪用していました。

「OAuth」(オーオース)は、ユーザが利用するソーシャルメディアのアカウント情報を使い、サードパーティのアプリケーションへの権限を許可する仕組みです。「OAuth」によりユーザは、パスワードを入力することなく、サードパーティのアプリケーションでさまざまな機能を利用できます。「OAuth」は便利な反面、サイバー攻撃者にその利用権限が悪用されることもありえます。

Pawn StormによりOAuthが悪用されたケースでは、まず、Googleからの警告(を装った)メールが送られてきました。このメールは、アカウントの安全性を高めるために「Google Defender」というアプリケーションのインストールを推奨する内容です。リンクをクリックすると、正規の「accounts.google.com」のページが開きます。しかし、承認を与えるアプリケーション「Google Defender」自体は、Googleと関係のない、Pawn Stormが作成したアプリケーションでした。許可を与えるボタンをクリックすると、OAuthのトークンが発行され、標的のメール受信箱に対して、攻撃者は半永久的なアクセス権を取得することになります。なお同様の攻撃は、Gmailユーザ以外に、Yahooメール利用者に対しても行われ、ある程度の成功を収めていたと思われます。

サービスプロバイダがOAuthの利用を許可していても、実際には「厳重なセキュリティチェック」を実施されていない場合もあります。よく知らないアプリケーションやサービスに対しては、OAuthを許可しないよう、ユーザ側が注意する必要があります。また、定期的にフリーメールやSNSのセキュリティ設定を見直し、アクセス権の認可を受けたアプリケーションを確認してください。もし疑わしいアプリケーションがあればすぐにトークンを無効にしてください。



Pawn StormによるOAuthの利用手順<br />

Pawn StormによるOAuthの利用手順


  • FCTV
  • mitene
FCTV
mitene