マルウェア？ 令和の侵入手口お見せします(๑•̀ㅁ•́ฅ✧ｷﾘｯ!!

マルウェア？令和の侵入手口お見せします (๑•̀ㅁ•́ฅ✧ｷﾘｯ!!

目次 1 2 3 4 5 本日の概要 令和の侵入手口に関して٩( 'ω' )‫و‬ シナリオに関してΣ੧(❛□❛✿) 攻撃実施の流れ♪( ´θ｀)ノ 〆

Whoami 名前 嶋田 裕 (Hiroshi Shimada) X @white_cat_sh 所属 GMOサイバーセキュリティby イエラエ オフェンシブセキュリティ部 ペネトレーションテスト1課 業務領域 ペネトレーションテスト / マネージャー Web脆弱性診断 / PF脆弱性診断 / IoTデバイス診断 コミュニティ PentestSecjp:コアメンバー ISOG-J WG1 : メンバー yuzawaws : 実行委員 資格 P-3

1 本日の概要

注意事項 本発表の内容は、私個人のものであり、所属組織の公式な意見や方針を代表するも のではありません。また、発表に含まれる事例は一般化されたものであり、特定の 状況や詳細を反映しているわけではありません。 P-5

令和のPTこんな時に困りませんか？ ゼロトラスト環境（フルクラウド）に対するPT実施イメージ 侵入 デバイス管理製品 遠隔通信確立 横展開 ブラウザの認証済み セッション奪取 フィッシング 攻撃者 情報奪取 社員端末 （マルウェア感染想定） マルウェアDL マルウェアDLサイト 管理者アカウント （グローバル管理者） オンラインチャット マルウェアの永続化 Microsoft365 管理者端末 （横展開） P-6

令和のPTこんな時に困りませんか？ ゼロトラスト環境（フルクラウド）に対するPT実施イメージ 侵入 遠隔通信確立 デバイス管理製品 フィッシング （マルウェア配布） 横展開 ブラウザの認証済み セッション奪取 攻撃者 情報奪取 社員端末 （マルウェア感染想定） マルウェアDL マルウェアDLサイト 管理者アカウント （グローバル管理者） オンラインチャット マルウェアの永続化 Microsoft365 管理者端末 （横展開） 初期侵入時にアカウントやパスワードがわかってもMFAコードの突破ができない P-7

令和のPTこんな時に困りませんか？ ゼロトラスト環境（フルクラウド）に対するPT実施イメージ 侵入 デバイス管理製品 横展開 電話をかけてボイスフィッシングで 突破してみた！ 遠隔通信確立 フィッシング （マルウェア配布） ブラウザの認証済み セッション奪取 攻撃者 情報奪取 社員端末 （マルウェア感染想定） マルウェアDL マルウェアDLサイト 管理者アカウント （グローバル管理者） オンラインチャット マルウェアの永続化 Microsoft365 管理者端末 （横展開） 初期侵入時にアカウントやパスワードがわかってもMFAコードの突破ができない P-8

本日の概要 今回実施したボイスフィッシング例 想定被害 • • • ※今回の内容は許可をもらった範囲で実施しています SSO可能なシステムへの侵入 Google Drive からの情報取得 自己追加可能なグループへの参加 P-9

2 令和の侵入手口に関して٩( 'ω' )‫و‬

ボイスフィッシング(Vishing)とは？ ボイスフィッシング (Voice Phising / Vishing) • • 電話を使って個人情報や認証情報、機密情報などを騙し取るソーシャルエンジニアリング攻撃の一種 メールやSMSなどの文面ではなく、音声（電話）を使って信頼を得て、ターゲットから情報を引き出すのが特徴 主な手口 内容 サポート担当者を装う 「AWSサポート」「社内IT部門」などを名乗って認証コードやパスワードの再設 定を誘導 金融機関職員を装う クレジットカード番号やセキュリティコードを聞き出す 経営陣へのなりすまし CTO や CEO になりすまし、急ぎの送金指示を行う （ビジネスメール詐欺等も併用） 法的圧力の偽装 「未払いの税金があります」「裁判所からの通告」などと脅して情報を引き出す 対策 狙われやすい情報 • • • • • MFAコード（SMS・メールに届く6桁の認証番号等） ログインパスワード 社内システムへのアクセス情報 送金依頼・口座情報 顧客リストやシステム仕様書、社内資料 など • • • 社内での教育の実施 本人確認手段の標準化 MFAコードは電話・チャットでは伝えないルール及びマニュ アル化 P-11

その他のボイスフィッシング(Vishing)の事例 ボイスフィッシング (Voice Phising / Vishing) • 2025年3月に山形銀行を装った自動音声によるフィッシング（ボイスフィッシング）により山形鉄道が約1億円の詐欺被害に あった事件 （参考：https://www.asahi.com/articles /AST3F2GFDT3FOXIE00PM.html） 今回実施したボイスフィッシング例 ①銀行になりすました自動音声で連絡 対応すると実行者に変わる。メールアドレスを聞き出す 山形鉄道 ②フィッシングサイトへ誘導するメール ③認証情報やワンタイムパスワード を要求 攻撃者 フィッシングサイト ④インターネットバンキングに不正送金 標的企業に対して再度ワンタイムパスワードを要求 山形銀行 P-12

その他のボイスフィッシング(Vishing)の事例集 • 琉球銀行での事例 https://rocket-boys.co.jp/security-measures-lab/ryugin-biznet-1-billion-yen-fraud/ • 香川県での事例 https://www.pref.kagawa.lg.jp/documents/45809/20250509_kcsi_136.pdf • Cisco 従業員の個人用 Google アカウント乗っ取りの事例 https://techhq.com/news/phishing-vishing-cisco-credentials-compromised-by-voice-phishingattacks/ • Salesforce アプリケーションを標的にする事例 https://www.techrepublic.com/article/news-unc6040-vishing-salesforce-data • Eye Security での事例 https://www.eye.security/blog/the-story-of-a-real-vishing-attack-detailed-incidentwalkthrough?utm_source=chatgpt.com P-13

• https://rocket-boys.co.jp/security-measures-lab/ryugin-biznet-1-billion-yen-fraud/
• https://www.pref.kagawa.lg.jp/documents/45809/20250509_kcsi_136.pdf
• https://techhq.com/news/phishing-vishing-cisco-credentials-compromised-by-voice-phishing-
• https://www.techrepublic.com/article/news-unc6040-vishing-salesforce-data
• https://www.eye.security/blog/the-story-of-a-real-vishing-attack-detailed-incident-

3 シナリオに関してΣ੧(❛□❛✿)

攻撃のための準備 OSINTで入手した情報 • • • • • 過去に漏洩したログイン可能なGmailのアドレスとパスワード（2FAによる本人確認コードによる本人確認が必要） 漏洩したGmailアカウントを利用していそうな部署情報 対象の会社の代表電話番号 対象の会社の個人の電話番号 実在するGoogleに勤める社員の情報 攻撃のために準備したもの • • • • • • • 複数のSIMカード 050 から始まるIP電話サービスでしようされる複数の電話番号 070 や 090 から始まる複数の電話番号 SMSを受け取れる状態になっている携帯電話 実際にボイスフィッシングをしかけるための基本となる原稿（後述） イヤホン、ヘッドセット 静かな場所の準備（会議室） P-15

シナリオ作成 個人番号向けの攻撃シナリオ • OSINTで入手した会社で発行されている個人番号に対して攻撃を実施する。 懸念点 • • シナリオ 対象とするメールアドレスの本人確認コードが受け取れるかは運 会話を臨機応変に対応する力が必要 ゴール 1. 個人番号に電話して本人確認コードを入手 • 本人確認コードを入手してアカウントにログインする 個人番号向けシナリオ 電話で問い合わせ ベンダーを装う 攻撃者 システム担当者 MFA認証がかかった漏洩情報の認証コードを入手 MFA認証コードを利用してアカウント侵害 漏洩したアカウント P-16

シナリオ作成 代表番号向けの攻撃シナリオ • • • 代表番号からアカウントを利用している部門に繋いでもらい本人確認コードを入手する。 部門に繋いでもらう必要があるため、折り返し電話をまつ確率が高くフェーズを2つに分ける必要がある 個人番号よりも先に実施する必要がある 懸念点 • • • シナリオ 成功率が低い（フェーズが２段階のため） 折り返し電話がいつ来るかわからない 対象とするメールアドレスの本人確認コードが受け取れるかは運 ゴール 1. 代表番号に電話をかけて部門に繋いでもらう 2. 担当から折り返し電話が来て情報を抜き出す • 本人確認コードを入手してアカウントにログインする フェーズ1のシナリオ 電話で問い合わせ ベンダーを装い関連部署へ繋いでもらう 代表番号 攻撃者 フェーズ2のシナリオ 連携 攻撃者 代表番号 システム担当者 システム担当者から折り返し電話 MFA認証がかかった漏洩情報の認証コードを入手 MFA認証コードを利用してアカウント侵害 漏洩したアカウント P-17

4 攻撃実施の流れ♪( ´θ｀)ノ

代表番号むけ攻撃シナリオの実施 フェーズ1(代表番号に対して)の基礎原稿 「お忙しいところ失礼します。こちら、Google Workspaceのセキュリティサポート部門（架空の部門）の〇〇（偽名）と申し ます。御社の Gmailアカウント [email protected] に関して、今朝からセキュリティ異常が検知されており、アカウン トの本人確認対応が必要な状態です。至急、こちらのメールアカウントをご利用の部署またはご担当者様にお繋ぎいただけます でしょうか？」 →結果として、すぐに担当部門に繋げられないとのことなので担当者からの折り返し電話を待つことに フェーズ2 (部署の担当者からの折り返し)の基礎原稿 「もしもし、折り返しのお電話ありがとうございます。こちらGoogle合同会社のGoogle Workspaceセキュリティサポート部 門（架空の部門）の〇〇（偽名）でございます。 現在、御社の Gmailアカウント [email protected] に関して、に対して不審なアクティビティが記録されておりまして、 第3国からのアクセス試行が複数回記録されています。 セキュリティ保護の観点から、本人確認用のコードを今発行しております。 まもなく “Google 本人確認コード” というタイトルのメールが届くと思いますので、そちらのコードをこちらで確認のため読 み上げていただけますか？」 →結果として本人確認コードを入手 P-19

実際にやってみて 準備してよかったこと • • • • 電話番号を複数用意して用途を決めておくこと（慌てなくて済む） 自分が他社の人間だと信じ込むこと（成り切ることは大事） →社員として聞かれた時の後対応のためにOSINTでできるだけ情報を集める 自分はホストばりのコミュ力でコミュ障ではないと鏡の前で唱えておくこと 声の調子を整える（酒を前日飲まない、前日にカラオケに行かない） →不安感や違和感を与えない ボイスフィッシングの大変なところ • • そもそも電話をかけることに苦手意識があると辛い 臨機応変にコミュニケーションをとれないと一気に怪しまれる →エンジニアだと辛い人が多いかもしれない • • • • • • • 折り返し電話があるとどの時間にかかってくるかわからない 言葉を詰まらせてはいけない（流暢でかつ方言等もできるだけ避けること） 対象と近い社員に成り切ると聞かれて困ることもあるのでできるだけ情報を集める どんなことがあっても堂々としていないといけない 今回はたまたま成功例だが本来は運の要素が絡むから成功率が低いこと 準備期間が今回少なかったこともあり直接電話をかけることとなったが、音声AI等を使ったり準備に時間がかかる 逮捕されるリスクがある（契約で守られているとはいえ可能性はある） P-20

5 〆

(余談) ネタバラシをした際の反応！ 担当者様、◯月◯日にGoogle合同会社の〇〇様から電話で不審なセキュリ ティに関するお話しがあったと思うんですが.. 確かにありました！でもご安心下さいGoogle合同会社の〇〇様にきっちりセ キュリティ対応してもらったので弊社のセキュリティはばっちりです！ 上長にも問題ないって報告しました！ （嘘だろ..！？攻撃成功して感謝されてしまっている！？！？） 実はあれはレッドチーム演習の一環で.. 以下ry 人間は意外と騙されてしまう…!! P-22

実施した概要図 今回実施したボイスフィッシング例 想定被害 • • • ※今回の内容は許可をもらった範囲で実施しています SSO可能なシステムへの侵入 Google Drive からの情報取得 自己追加可能なグループへの参加 P-23

まとめ • 日本であまり事例のないボイスフィッシング（Vishing）に関しての事例に関する お話しをしました • シナリオ作成にも注意点が必要 • 意外と人間は騙される 検知 • みんなもフィッシングに関して気をつけよう 対応 • やってみるとコミュ障にはつらい！ P-24

END