ハクソク

世界を動かす技術を、日本語で。

カート・ゴット・ゴット

229日前原文(fly.io)

概要

  • Fly.ioのTwitterアカウントが フィッシング攻撃 で乗っ取られた事例
  • CEOの Kurt Mackey が標的となった経緯と心理的要因
  • フィッシング耐性認証 (FIDO2/Passkeys等)の重要性
  • 共有アカウント管理の 運用ミスと改善点
  • 今後の教訓と セキュリティ強化策

Fly.ioのTwitterアカウント乗っ取り事件

  • Fly.ioの公式Twitterアカウントが フィッシング攻撃 により乗っ取り被害
  • CEOの Kurt Mackey が標的となり、攻撃メールに反応してしまった経緯
  • 攻撃者は「dank developer memes」に馴染みのない 経営陣の心理的ギャップ を巧みに突いた設計
  • 社内ではTwitter運用を 外部の若手契約者 に委託しており、アカウント情報は1Passwordで共有管理
  • Kurtが1Passwordから認証情報を取得し、 偽サイト(members-x.com) にログインしたことで被害発生

攻撃が成功した理由

  • Twitterアカウント が業務インフラから外れた「真剣に管理しない領域」にあった
  • 1Passwordの ブラウザプラグイン を利用していれば偽サイトへの入力を防げた可能性
  • フィッシング攻撃は「 クリックしない教育」だけでは防げず、 技術的対策(FIDO2/Passkeys等) が不可欠
  • Fly.ioの主要インフラはGoogle IdPと フィッシング耐性MFA で保護されているが、Twitterは例外的に旧来の運用

事件対応と影響

  • 攻撃者は即座に 全トークンをリセットし2FAを再設定
  • パスワードは短時間でリセットできたが、完全回復には X.com側の対応で約15時間 を要した
  • 攻撃中はアカウントの悪用や顧客被害は発生せず、主に ブランドイメージ低下 と余分な対応工数が発生
  • 過去の投稿履歴も一時的に 削除 されたが、深刻な被害には至らず

得られた教訓と今後の対策

  • CEOのメール閲覧習慣 もリスク要因となり得る
  • 今後は Passkeys等のフィッシング耐性認証 をTwitterにも適用
  • 共有アカウントやレガシー運用の 見直しと管理徹底 が必要
  • どんなサービスも フィッシング耐性MFA または SSO+MFA で保護するべきという結論
  • 「自分たちの失敗を他山の石に」という 教訓

まとめ

  • フィッシング攻撃は誰でも被害者になり得る 現実
  • 技術的対策( FIDO2/Passkeys、SSO+MFA)こそが最も効果的な防御策
  • レガシーな運用や「つい軽視しがちな領域」ほどリスクが高い
  • 失敗事例から 運用改善とセキュリティ強化 への意識改革の必要性

Hackerたちの意見

フィッシングにあいそうになってから(ドメイン名の「s」の上に小さなストレスマークがあるのに気づかず、ハードウェアウォレットを使ってたおかげで攻撃を完全に防げたけど)、誰でもフィッシングにあう可能性があるって気づいた。忙しかったり、外出してたり、疲れてたりして、ちゃんと確認しないのを狙ってるんだよね。トーマスが言ってるように、すべてにパスキーを使った方がいいよ。

Appleに詳しいなら、iOSアプリ向けの基本的なパスキー実装についてのチュートリアルを書いたよ。ここにあるよ。

反論:パスキーは使わない方がいいよ。混乱してるし、制限が増えるだけで、パスワードマネージャーの良い長いパスワードに比べて何のメリットもないから。

誰でもフィッシングにあう可能性があるって気づいた 何年か前、テストとしてうちの情報セキュリティ責任者がフィッシングにあったんだ。誰も安全じゃないね :)

だから、ちゃんと機能するパスワードマネージャーが大事なんだ。ウェブサイトの運営者としては、それを壊さないように気をつけるべき。ウェブサイトでパスワードが自動入力されないだけで、すぐに警戒しなきゃって思うよ。一方で、コードベースの2FAはフィッシングには全く役に立たない。ログインする時はログインするし、2FAコードももらっちゃうからね(SMSでもアプリでも関係なく)。

投稿の中のテクノロジーに詳しい人がパスワードマネージャーを使ってたのにフィッシングにあったっていうのはどういうこと?

オートフィルをオフにしておけ、現代の攻撃に利用されるから、タップジャッキングとか。

https://haveibeenpwned.com のクリエイターも一度フィッシングに引っかかったことがあるんだ(マジで)、彼はパスワードマネージャーを使ってるのに。

前の会社で年に一度のペンテスト監査をやってた時、セキュリティ監査会社はいつもフィッシングやソーシャルエンジニアリング攻撃を提案してたけど、毎回成功するからやめた方がいいって言ってた。一番印象に残ってるのは、ペンテストしてる会社の駐車場にUSBメモリを投げ入れて、誰かがそれをワークステーションに差し込んで中身を見ようとして、やられちゃうってこと。フィッシングもそんなに変わらないよね。パスキーを設定するいいリマインダーだね。

迷子のUSBメモリがStuxnetが展開された方法だって言われてるよね。正直、今の時代にそれが通用するとは思えないけど。

USBドライブで見つけたランダムな実行ファイルを実行してるなら、パスキーなんて役に立たないよ。同じことが、ソーシャルエンジニアリングでランダムな実行ファイルをインストールさせられる場合にも言える。

彼らはペンテストしている会社の駐車場にUSBスティックを投げ込んで、誰かがいつもそれをワークステーションに挿れて中身を見ようとして、p0wnedになってしまう。私のお気に入りの引用の一つは、2012年のStuxnetやイランの核プログラムへのサイバー攻撃に関する記事に出てくる、計画の無名のアーキテクトの言葉だ。「手に持っているUSBドライブのことをあまり考えないバカは、いつも周りにいるってことが分かった。」

うちの会社は、チームに対して定期的にフィッシング攻撃をやってるんだけど、なんと90%の「クリックしない」率を達成してるみたい(数字はあんまり信じないでね)。でも、その10%って1500人もいるからね xD それで、今は内部ドメインからも送信してるから、外部メールだって警告するバナーがなかったら、私も引っかかっちゃった。

誰かがフィッシング監査ソフトのライブデモをステージでやってるのを見たことがあるんだけど、実際の会社をフィッシングして、誰かが引っかかるとどうなるかを見せてたんだ。ライブで、ステージ上で、数分で。人々がそれに引っかかるのがこんなに確実だから、できるんだよね。私たちがやったときは、「コストコーヒー」の偽のバウチャーや、返信リンク付きの「トラストプロット」に新しい悪評、ロシアの地図付きの「ワッツアップ」での異常な活動、そしてレポートリンクが出てきた。バカみたいな名前でも、すごく成功してたよ。

一度、私のために働いていたセキュリティ責任者(CTO)がいて、彼女は本当に素晴らしかった。彼女も同じことをやってて、例えばプリンターの上にUSBスティックを置いて、誰がそれを自分のコンピュータに差し込むかを見てたんだ。

これを読んでて、なんでこんなに高評価なのか不思議だったんだけど(会社名が分からなかった)、最後の方に名前が出てきた。ここからの教訓は「カートに起こったことが、誰にでも起こり得る」ってことだね。確かに、ここでの影響はそんなに大きくなかったけど、誰にでも何かしらの脆弱性があるし、それは大抵は無視してる隅っこのゴミの山にあるんだよね。もし攻撃者が本当にダメージを与えようとしてたら(ただの小規模な暗号詐欺じゃなくて)、会社の公式アカウントを利用するのは、ソーシャルエンジニアリングのための良いスタートだと思う。

カートのこと言ってるんじゃない?

この「あなたのX投稿に対するコンテンツ違反」っていうフィッシングメール、めっちゃよく見るよ。週に十通くらい来るし、フィルターを何度も変更しなきゃならなかった(Xの文字を検出するのは簡単じゃないし、文言もどんどん変わるから)。結局、メールセキュリティプロバイダーもやめちゃった。彼らはこれを見逃し続けてたからね。ほぼ十社のプロバイダーを評価・試用して、やっとすべてのXフィッシングメールを検出できるところを見つけたよ!(Check Point、参考までに、提携はしてない) ほとんどのセキュリティ会社にとっては恥ずかしいことだったと思う。フィッシングのサインは、ちゃんと見ればすごく明らかだから。

数ヶ月前に同じようなフィッシング攻撃に遭ったんだけど、UIエンジニアリングのレベルがすごいよね。撮ったスクリーンショットがあるよ: https://x.com/grinich/status/1963744947053703309

ごめんけど、imagecontent-x.comのURLは誰にとっても警告サインだよ。

じゃあ、その場合ブラウザは(正しく)オートフィルしなかったってこと?Xからの正当なトラフィックではよくあることなの?ブラウザからウェブサイトの身元についての文句もなしで、URLの左にあるはずの「ロック」アイコンもなかった?

ドメインが人気の正当なドメインに近いけど、正確には違うかどうかを検出するフィッシング対策の拡張機能ってある?検出にはローカルのLLMを使う必要があるかも。もしなければ、自分で作ることを考えてみるかも。

面白い!カートがコミットアクセスを持ってない今、誰に聞けば内部のFly Slackボットを解除してもらえるの?短い間だけdevrelチャンネルにいたんだけど、それ以来、アクセスできないチャンネルで更新を書くようにしつこく言われてるんだ。

フィッシングトレーニングは効果がない。 "Understanding the Efficacy of Phishing Training in Practice" https://arianamirian.com/docs/ieee-25.pdf