管理者アカウントやシステムアカウントは多くの場合、自動化されており、ないがしろにされがちだ。さらに、2要素認証で守られておらず、貧弱なパスワードで保護されているだけの場合もある。犯罪者らはこうしたアカウントを標的にして、企業向け「Office 365」の電子メールアカウントへのアクセスを取得し、フィッシングやデータ窃盗などを行っている。
こうした攻撃は「KnockKnock」と呼ばれ、5月から継続的に実行されている。標的になっているのは、製造業や金融サービス、医療分野、消費財、米国の公共部門の組織だ。
個々のユーザーのアカウントではなく、定期的に使われていない可能性のあるシステムアカウントを標的にすることで、攻撃者は悪事が発覚する確率を下げられると考えている。多くの場合、これらのアカウントは「Exchange Online」のアカウントだ。Microsoftの定義では、Exchange OnlineアカウントはOffice 365アカウントのカテゴリに分類される。
さらに、攻撃者は少数のアカウントを標的にすることで、自らの存在を隠そうとする。セキュリティソフトウェアによる検知を回避するため、それらのアカウントの突破を3~5回試みた後、別の組織への攻撃に移るのだ。
さらに、Skyhigh Networksの研究者らによって発見されたKnockKnockボットネットは比較的小規模で、63のネットワークのわずか83個のIPアドレスに分散されている。
標的にされる管理者アカウントは通常、企業の電子メールシステムとマーケティングおよびセールスオートメーションソフトウェアを連携させる場合に使われているものだ。これらのシステムアカウントが攻撃者にとって魅力的なのは、普通のアカウントより高度なアクセス権限と特権を付与されていることが多いからだ。
それらのアカウントが通常、自動化されていることを考えると、2要素認証で保護されている可能性は非常に低い。また、そうしたアカウントは企業環境内で共有する必要があることが多いため、貧弱なパスワードを使用している可能性もある。結局のところ、KnockKnockはそれら2つの要素を悪用して、標的のネットワークへの侵入を試みるというわけだ。
提供:iStock
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
