FBI、サイバー犯罪者による偽の緊急データ要求について米国組織に警告

FBI、サイバー犯罪者による偽の緊急データ要求について米国組織に警告

興味深い展開として、FBI は米国の組織に対し、サイバー犯罪の手口として偽の緊急データ要求 (EDR) が急増していることについて緊急警告を発しました。サイバー犯罪者は、この抜け穴を悪用するために法執行機関を装うことが増えており、偽の EDR を使用して米国企業から機密性の高い個人データを収集しています。こうした攻撃が勢いを増す中、組織は顧客のプライバシーを保護し、データ侵害を防ぐために警戒する必要があります。

緊急データ要求とは何ですか? なぜ危険なのですか?

緊急データ要求により、法執行機関は正式な召喚状なしで、緊急事態においてサービス プロバイダーに迅速に情報を要求できます。生死に関わるシナリオを想定して設計された EDR は、通常の法的手続きを回避して、迅速な情報アクセスを可能にします。しかし、サイバー犯罪者は、政府機関の侵害された電子メール アカウントを利用して、自分たちの計画が正当なものであるように見せかけ、緊急要求を偽造することで、このシステムを悪用する方法を見つけました。

FBI の警告により、Lapsus$ などの著名なグループを含む脅威アクターが、偽の EDR を使用して大企業から個人識別情報 (PII) を収集するケースが増えていることが明らかになりました。このデータは、個人情報の盗難から恐喝まで、さまざまな犯罪目的に利用される予定です。サイバー犯罪者は、フィッシングやソーシャル エンジニアリングの戦術を使用して、政府や法執行機関の公式メール アカウントにアクセスします。これらのアカウントを使用して、米国に拠点を置く企業に偽の EDR を発行し、正当な緊急事態を装って機密性の高い顧客情報を公開することがよくあります。

脅威を増幅させるサイバー犯罪フォーラムの役割

サイバー犯罪者のフォーラムは、この手法に関する知識共有の温床となっています。FBI は、ここ数か月で EDR の悪用方法を詳述するフォーラム投稿が急増していると指摘しています。たとえば、あるサイバー犯罪者は最近、.gov の電子メール アドレスの販売を宣伝し、これらの認証情報はスパイ活動、ソーシャル エンジニアリング、または不正なデータ要求の発行に使用できると自慢していました。

この傾向は 2024 年初頭にさらにエスカレートし、あるフォーラムで 1 人の脅威アクターが 25 か国の政府メール アドレスを所有しており、ユーザー名、電話番号、メールなどの機密情報を取得するために偽の EDR でそれらを使用する計画であると主張しました。別のサイバー犯罪者は、相互刑事援助条約 (MLAT) に基づく不正なデータ要求で PayPal を悪用しようとしたと主張しました。PayPal は最終的にこの要求を検出して拒否しましたが、これらの試みは大量の顧客データを管理する組織に対する深刻なリスクを浮き彫りにしています。

偽の緊急データ要求を検出するのが難しい理由

サイバー犯罪者は、成功を早めるために EDR の緊急性に頼っています。多くの場合、企業、特にリソースやサイバーセキュリティの経験が限られている企業は、緊急性があると想定されるため、緊急リクエストを通常の召喚状ほど注意深く精査しないことがあります。犯罪者は、緊急性を巧みに利用して、検証プロセスの近道を悪用します。

詐欺的なリクエストの信憑性を高めるために、こうした脅威の担い手は高度なソーシャル エンジニアリング手法を使用することが多い。不正な署名、本物そっくりのロゴ、もっともらしい法的参照などを追加して、リクエストが正当なものであるように見せかけることもある。FBI は、ロゴの不一致や、名目上の機関が通常使用するものと異なる異常な法的コードなど、こうしたリクエストに矛盾がないか調べるよう組織に警告している。

偽の緊急データ要求から組織を守るために取るべきステップ

FBI がこの脅威の増大について警鐘を鳴らしているため、企業は偽の EDR や同様のソーシャル エンジニアリング戦術から身を守るために積極的な対策を講じることが重要です。組織とそのデータを保護するための重要な推奨事項は次のとおりです。

1. FBI とのコミュニケーション チャネルを強化する: EDR を頻繁に受け取る組織は、FBI 担当者と強力な関係を構築し、維持する必要があります。連邦当局と緊密に連携することで、疑わしい要求をより迅速に検出して対応できるようになります。
2. インシデント対応計画の見直しと強化: インシデント対応手順を更新し、EDR の信頼性を検証するためのチェックを特に含めます。このプロセスには、複数の層のレビューと、不正の可能性があるリクエストにフラグを立てるための明確なプロトコルを含める必要があります。
3. ソーシャル エンジニアリングのリスクについてスタッフを教育する: 改ざんされた画像、署名、異常な法的参照などの危険信号を識別するためのスタッフのトレーニングは重要です。特にプレッシャーのかかる状況では、スタッフには懸念を抱かせるリクエストの正当性を疑問視する権限を与える必要があります。
4. セキュリティのベストプラクティスを実装する:
   • MFA と強力なパスワード プロトコル: 多要素認証 (MFA) と強力なパスワード管理を要求すると、不正アクセスの可能性が減ります。
   • 管理者アカウントの時間ベースのアクセス: 管理者アクセスを設定された期間に制限し、不正使用の可能性を制限します。
   • 定期的なセキュリティ評価: ユーザー アカウントとドメイン コントローラーに対して定期的な評価を実行し、侵害や不正アクセスの兆候を検出します。
   • リモート アクセスの制限とネットワークのセグメント化: リモート サービスとネットワークのセグメント化を通じて機密データへのアクセスを制御します。データ アクセスを区分化することで、侵害が発生した場合のリスクを軽減します。
   • 脆弱性管理: サイバー犯罪者が悪用する可能性のある脆弱性を軽減するために、システムを継続的に更新してパッチを適用します。
5. 緊急データ要求は細心の注意を払って検証する: 常に EDR 内の法定コードを相互参照し、発信元の機関と一致していることを確認します。添付された画像に、不正行為を示す可能性のある改ざんや矛盾の兆候がないか確認します。要求を検証するために少し時間をかけることで、重大なデータ侵害を防ぐことができます。

サイバー犯罪者が合法的なプロセスを操作する技術をますます巧妙化しているため、組織は警戒を怠ってはなりません。FBI の最新の警告は、サイバー犯罪がますます巧妙化しており、積極的な防御が不可欠であることを思い出させるものです。厳格な検証手法を導入し、法執行機関と緊密な関係を維持し、サイバーセキュリティ トレーニングに投資することで、組織はこうした詐欺の被害に遭うリスクを軽減できます。

偽の緊急データ要求の急増は、企業がサイバー脅威の進化する状況に継続的に適応する必要があることを示しています。要求の緊急性により組織は迅速な対応を迫られるかもしれませんが、慎重な検証によってデータベースの安全性と壊滅的なデータ漏洩の違いが生じる可能性があります。今日の世界では、機密情報を扱う組織にとって、緊急データ要求に対する慎重で懐疑的なアプローチが不可欠です。