デジタル諜報活動業界の価格破壊?
長期間のデジタル諜報活動の実態の調査報告のご紹介です。
2016年1月〜2017年7月の19ヶ月間に渡り、某国内で一部の民族に対してフィッシング行為による諜報活動が行われました。
これについてトロント大学のシチズンラボが調査し2018年1月に発表したレポート[1]を、内部勉強会で読んだので、そのご紹介です。
調査結果
今回用いられたフィッシング行為をシチズンラボが調べたところ、特に高度な技術を使っておらず、安価な手法で行なっていたそうです。今回のフィッシングでは、Googleドライブが用いられたのですが、2段階認証などのセキュリティ機能の利用率が低いことが、盗まれたメールアドレスの不正利用に繋がったのではないかと推察してました。
フィッシングの手法(フィッシングメール)
調査によると、以下の手順で、フィッシング行為が行われたとのことでした。Googleドライブの偽のログインページ(図1参照)が効果的に用いられていたのことでした。
1.フィッシングメール(図1参照)が、ターゲットに届く
2.フィッシングメール内で、添付ファイルに見せかけたリンクを(ターゲットが)クリックし、偽のGoogleドライブログインページ(図2参照)へアクセスする
3.(ターゲットが)ログイン情報を入力する
4.おとり画像(※)が表示され、ログイン成功したように思わせる(実際には攻撃者に、入力したログイン情報が送信されてしまう)
※フィッシングメールに書いてある内容に一致した、チベットに関わる画像が表示されます。おとり画像なので、偽のログインページだと怪しまれにくいものが多いそうです。
図1の例の場合、フィッシングメールには対象者の母国語で注意喚起について書かれていました。また、多くの場合、うっかり開いてしまうようなコミュニティに関わる内容が書いてあったそうです。フィッシングメールの送信者のアドレスも、送信者が同じ民族であると思わせるようなものが使われていたそうです。
偽ログインページはよくできていますが、実はGoogleの古いバージョンのデザインをそのまま使ったようです。これは流石に気がつかないでしょう。
まとめ
今回のフィッシングは、「安い・簡単・効果的」と某牛丼チェーン?を彷彿させる特徴がありました。実際にかかった費用は約1000USDでそうで、高度な技術は使っていないそうです。それでも、フィッシング行為としてはかなりの効果があったようです。
なぜ今回のフィッシングの被害が広がったのかというと、Googleの2段階認証などのセキュリティ機能が有効化されていなかったからではないかと結論づけられています。
2018年の調査によると、Googleの2段階認証機能は10%未満のユーザにしか使われていないようで、一度フィッシングの被害にあった人でも使っていない人もいるそうです。
もし、今回、2段階認証が行われていれば、メールアドレスを盗まれたとしても、フィッシングを防ぐことができたかもしれません。
デジタル諜報活動というとだいぶ大ごとに聞こえ、コストも掛かるような印象ですが、あちらの業界も低コストで効果的な手段が使われるようになってきたようです。まさに、デジタル諜報活動業界の価格破壊?というところでしょうか。
Googleなど大手事業者は2段階認証機能など様々なセキュリティ対策を提供しているので、その正しい理解と利用がますます重要となるのでしょうかね。
2019/07/17
Thanks、K君、F君
[1]Citizen Lab,”Spying on a BudgetInside a Phishing Operation with Targets in the Tibetan Community”Citizen Lab Research Report, University of Toronto, January 30, 2018.
