On August 29, 2023, Retool notified 27 cloud customers that there had been unauthorized access to their accounts. If you’re reading this and you were not notified, don’t worry – your account was not impacted. There was no access to on-prem or managed accounts. Nevertheless, here’s what happened, with the hope that this will help apply the lessons we’ve learned and prevent more attacks across the industry.
When MFA isn’t actually MFA | Retool
2023年8月29日、Retoolは27社のクラウド顧客に、不正アクセスがあったことを通知しました。なお、オンプレミスや管理アカウントへのアクセスはありませんでした。
このレポート” When MFA isn’t actually MFA “(MFAがMFAでなくなるとき)から新たな脅威ベクトルとして、Google Authenticatorのクラウド同期について考察しました。
事件の経緯
2023年8月27日、Retoolは標的型のフィッシング攻撃を受けました。従業員がSMSベースのフィッシング攻撃を受け、攻撃者が用意した偽のポータルにログイン、従業員の声を模倣して電話をかけ、多要素認証(MFA)のコードを手に入れました。このコードにより従業員のGoogleアカウントにアクセスし、特定の顧客のアカウントを乗っ取りました。事件が発覚した後、Retoolは影響を受けた顧客に通知しました。
Google Authenticatorのクラウド同期について考察
不透明なデフォルト設定
Google Authenticatorをアプリストアから直接インストールし、推奨される手順に従うと、MFAコードはデフォルトでクラウドに保存されます。ユーザーはこのデフォルトの動作を知らずに、セキュリティコードがクラウドに保存されていることになります。
クラウド同期の無効化が困難
クラウドへの同期を無効にする明確な方法が提供されていないため、ユーザーは「Googleアカウントのリンク解除」オプションを選択する必要があります。これは、多くのユーザーにとって直感的ではなく、誤解を招く可能性があります。
管理者の制御の欠如
企業のGoogleアカウントでは、管理者が中央でGoogle Authenticatorの同期「機能」を無効にする方法が提供されていない。これにより、企業は従業員のセキュリティ設定を制御する能力を失います。
セキュリティリスクの増加
Googleアカウントが侵害されると、クラウドに保存されているMFAコードも侵害されるリスクが高まります。これは、攻撃者がユーザーの他のアカウントやシステムにアクセスするための鍵となる可能性があります。
教訓
- ソーシャルエンジニアリングは誰にでも影響する可能性があります。
- システムは人間のミスから全体のシステムに影響を与えないようにする必要があります。
- Google Authenticatorのクラウド同期は新しい攻撃ベクトルとなっています。
- 最小権限の原則が重要です。
- 顧客は自身の脅威モデルを理解し、適切なセキュリティ対策を講じる必要があります。