10 月 28 日、シリア電子軍(Syrian Electronic Army)は OFA(Organizing For Action)のスタッフ数人の電子メールアカウントを乗っ取ったという声明を発表しました。OFA は、オバマ大統領の Web サイト(barackobama.com)、Facebook アカウント、Twitter アカウント(@barackobama)も運営している非営利組織です。このハッキングの事実は @Official_SEA16 が投稿したスクリーンショットでも裏付けられており、OFA の一部スタッフが Google Apps for Business を通じて提供されている Gmail アカウントを使って業務を行っていたことも明らかになっています。
We accessed many Obama campaign emails accounts to assess his terrorism capabilities.(我々はオバマ大統領の支援キャンペーン組織の電子メールアカウントにアクセスして、彼の有するテロ実行能力を評価した。) They are quite high(テロ実行能力は非常に高い) #SEA pic.twitter.com/ARgGLX8IjN — SyrianElectronicArmy (@Official_SEA16) 2013 年 10 月 28 日
We accessed many Obama campaign emails accounts to assess his terrorism capabilities.(我々はオバマ大統領の支援キャンペーン組織の電子メールアカウントにアクセスして、彼の有するテロ実行能力を評価した。) They are quite high(テロ実行能力は非常に高い) #SEA pic.twitter.com/ARgGLX8IjN
攻撃者は、OFA がソーシャルメディアを通じてリンクを共有する際に使っていた URL 短縮サービス(ShortSwitch.com)にも侵入しました。乗っ取られたリンクをクリックすると、「Syria Facing Terrorism(テロに直面するシリア)」と題する YouTube の動画に誘導されていましたが、すでにこの動画は削除されています。
We are working with OFA.(私たちは OFA と連携しています。) Evidence suggests credentials were compromised elsewhere and used by unauthorized parties.(権限のない組織によって、どこからかアカウントが不正に侵入されて使われた形跡があります。) Forensics ongoing...(フォレンジック調査を進めています) — ShortSwitch (@shortswitch) 2013 年 10 月 28 日
We are working with OFA.(私たちは OFA と連携しています。) Evidence suggests credentials were compromised elsewhere and used by unauthorized parties.(権限のない組織によって、どこからかアカウントが不正に侵入されて使われた形跡があります。) Forensics ongoing...(フォレンジック調査を進めています)
シリア電子軍は、風刺ニュースサイト「ジ・オニオン(The Onion)」を狙ったときと同じ方法で、オバマ大統領の支援キャンペーン組織を標的にしたものと見られています。ジ・オニオンは先ごろ、乗っ取られた経緯について説明する記事を公開しました。この記事では、スタッフが受信した電子メール(フィッシング攻撃)から偽の Google Apps ログインページにリダイレクトされてしまったと説明しています。
電子メールなどのサービスに Google Apps を利用している企業は少なくありません。しかも、そのうちの多くは、2011 年 8 月に導入されたセキュリティ機能である 2 要素認証(Google 社は 2 段階認証と呼んでいます)をいまだに有効にしていません。
電子メールに対する 2 要素認証は重要なセキュリティ機能であり、有効にしておくべきです。OFA の事例でも、スタッフが 2 要素認証を有効にしていれば、オバマ大統領支援キャンペーン組織の Google Apps 電子メールアカウントを乗っ取ろうとしたハッカーの試みを多少は防げたかもしれません。
SEA (@Official_SEA16) on Obama social media hack: "BTW, they didn't even enabled 2-step verification" (SEA(@Official_SEA16によるオバマ大統領のソーシャルメディア乗っ取り: "2 段階認証すら有効になっていなかった")http://t.co/VRF0bXqNdd — Fran Berkman (@FranBerkman) 2013 年 10 月 28 日
SEA (@Official_SEA16) on Obama social media hack: "BTW, they didn't even enabled 2-step verification" (SEA(@Official_SEA16によるオバマ大統領のソーシャルメディア乗っ取り: "2 段階認証すら有効になっていなかった")http://t.co/VRF0bXqNdd
Google Apps の管理者を務めている場合は、2 要素認証機能を有効にすることをお勧めします。2 要素認証(2 段階認証)を有効にするには、こちらの手順を実行してください。
Google Apps の管理者は、ドメインのすべてのユーザーに対して 2 要素認証を義務化し、強制することもできます。この機能を有効にする方法については、Google 社のヘルプページを参照してください。
フィッシング攻撃は進化し続けています。企業のたった 1 人がフィッシング詐欺のワナにはまるだけで、セキュリティは容易に低下してしまいます。Google Apps for Business のアカウントに 2 要素認証を導入するとともに、従業員に対しては基本的なセキュリティ対策(ベストプラクティス)について教育トレーニングを定期的に実施してください。
2 要素認証について詳しくは、以下のブログも参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。