エレクトロニック・アーツ(EA)は米カリフォルニア州に本社があるコンピューターゲームの大手企業です。今年6月、同社の人気サッカーゲームFIFA21のソースコードやツールなど780GBのデータが不正に侵入したハッカーによって盗まれる事件が発覚しました。ハッカーはどのようにしてEAのネットワークに侵入したのでしょうか?
ゲーム大手への侵入手口と認証情報窃取マルウェア
この事件について、デジタルメディアのVICEはハッカーにオンラインチャットで取材をしてEAに不正に侵入をした手口を明らかにしています。記事によると、EAを侵害したハッカーは招待制の闇サイトから10ドルで購入したCookieを使ってビジネスチャットSlackのEAチャンネルにログインし、従業員を装ってITサポートをだましてEAのネットワークに入るために必要な多要素認証のトークンを取得してネットワーク内に侵入したようです。
ブラウザに保存されるCookieには認証情報が含まれることから、闇サイトでは窃取された大量のCookieが売られている実態があるようです。しかも、VICEの記事によると、サイバー犯罪者がターゲットとするドメインを検索してCookieを購入することができるということです。闇サイトで売られているCookieはマルウェアによってブラウザから窃取されたものです。認証情報を窃取するマルウェアについて、サイバーセキュリティ企業のファイア・アイは2019年初頭のブログで2018年のヨーロッパのサイバー脅威を振り返ってこんなことを書いています。
認証情報窃取マルウェアは、基本的に金融業界の顧客を標的にしたものとして観測されてきた。しかし2018年を通じて、同マルウェアは、より、EU独自のシステムを狙ったものとなる可能性がある。例えば政府や医療、給与システムなどを始めとする機微な情報を扱うシステムなど
ファイア・アイのこのブログによれば、2018年にヨーロッパで検知されたマルウェアのうち認証情報を窃取するマルウェアがほぼ半分となる47%を占めています。ブログでは「認証情報窃取マルウェアは実際のところ全世界的な問題であり、世界中の企業組織がその危機にさらされていると言える」とも書いています。
今年7月の脅威、2位に登場したSnake Keylogger
ファイア・アイのブログは2018年のヨーロッパの状況について触れたものですが、現在の状況はどうなっているのでしょうか?サイバー脅威インテリジェンス情報を提供しているCheck Point Researchの今年7月のグローバル脅威インデックスによると、もっとも蔓延しているマルウェアはTrickbotで3カ月連続でした。そして2番目に多かったのは、急浮上したSnake Keyloggerでした。Check Point Researchによると、Snake Keyloggerは2020年11月に初めて検知されたクレデンシャルスティラ―、つまり認証情報を窃取するマルウェアです。コンピューターやモバイルデバイスのユーザーのキーストロークを記録し、収集したデータを攻撃者に送信するマルウェアです。Check Point Researchによると、Snake Keyloggerは、すべての国とビジネスセクターでさまざまなテーマのフィッシングメールを介して急速に成長しているということです。
イギリスを拠点とするサイバーセキュリティ企業のソフォスは、 最近、Raccoon Stealerによるキャンペーンについて詳細を明らかにしました。ソフォスによるとRaccoon Stealerはパスワード、Cookie、Web サイトのオートフィルテキストを収集し、さらにブラウザに保存されるクレジットカード情報などの個人情報も盗むマルウェアだということです。また、サイバー犯罪者向けに開発者が販売をしているマルウェアMaaS(Malware-as-a-Service)だということです。ロシア語の掲示板等で販売されているようですが、英語でのサポートもあるということです。ソフォスによると、認証情報を窃取するマルウェアはランサムウェアのようなマルウェアと比べると廉価に購入やレンタルでき、購入時の審査等もないため容易に手に入れることができるといいます。
容易に入手できる認証情報窃取マルウェアは多くのサイバー犯罪者によって利用され、サイバー犯罪者は窃取した認証データを闇サイトに売って利益を得ています。そして、闇サイトに売られた認証データは、さらなるサイバー犯罪者の手に渡り、より悪質なサイバー犯罪で使われているのです。
■出典
https://news.yahoo.co.jp/articles/e5fd5618568f5bce266f9db78f071d3053955fac
https://www.vice.com/en/article/7kvkqb/how-ea-games-was-hacked-slack
https://www.vice.com/en/article/n7b3jm/genesis-market-buy-cookies-slack