Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大
2023年9月19日 08:50
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ(Retool のブログ記事、Ars Technica の記事、Bleeping Computer の記事)。
複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。
OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能を 4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。
Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。