アメリカの警察機関のひとつであるFederal Bureau of Investigation(FBI)が、アメリカの大学に関連する何千件もの認証情報が、ロシアやその他のオンライン犯罪フォーラム上で販売されていると警告しています。これにより、大学のネットワークにランサムウェアがインストールされたり、ネットワーク上からデータを盗まれたりする可能性が指摘されています。
Compromised US Academic Credentials Identified Across Various Public and Dark Web Forums
(PDFファイル)https://www.ic3.gov/Media/News/2022/220526.pdf
US college VPN credentials for sale on Russian crime forums, FBI says | Ars Technica
https://arstechnica.com/information-technology/2022/05/us-college-vpn-credentials-for-sale-on-russian-crime-forums-fbi-says/
FBIは2022年5月26日にプライバシー産業に向けた警告を行い、「オンライン上に存在する犯罪フォーラムや公的にアクセス可能なフォーラム上で、アメリカの大学に関連する認証情報などが販売されていることを確認したため、学術パートナーに通知を行っています」と通知しました。
さらに、FBIは「このような機密性の高い認証情報やネットワークアクセス情報、特に特権的なユーザーアカウントが漏えいした場合、その後の個人ユーザーや関連組織に対するサイバー攻撃につながる可能性があります」と記し、さらなるサイバー攻撃につながる可能性を示唆しています。
犯罪フォーラム上で販売されている認証情報のうち、ログイン名とパスワードは日常的に行われているというフィッシング攻撃により収集されている模様。このフィッシング詐欺はアカウント侵害や新型コロナウイルス感染症(COVIDー19)をかたる偽装メールなどから行われているそうです。
多くの場合、フィッシング詐欺などでユーザーの資格情報を集めている脅威アクターは、犯罪フォーラム上でデータを販売している模様。また、脅威アクターは収集した資格情報をランサムウェア攻撃やクリプトジャッキング、スパイ活動などを行うために利用しており、最終的には大学のサーバーからさらなる情報を収集することを目論んでいるとも指摘されています。
FBIによると、2017年には「大学のログインページを複製し、フィッシングメールに資格情報を収集する脅威アクターへのリンクを埋め込む」ことで、大学を標的にアカウントのハッキングを行う脅威アクターを検出しており、攻撃者は大学のサーバー上から直接資格情報を盗むことを目論んでいた模様。
なお、今回のFBIのレポートでは以下のような事例が挙げられています。
・2022年1月の事例
ロシアのサイバー犯罪者フォーラムで、アメリカの一部の大学のネットワーク認証情報およびVPNへのアクセス権限が販売あるいは一般公開されていました。認証情報を販売するサイトでは、通常、情報が数ドル(数百円)から数千ドル(数十万円)で販売されています。
・2021年5月の事例
一般公開されているインスタントメッセージのプラットフォーム上で、「.edu」で終わるメールアカウントを含む3万6000件以上のメールアドレスとパスワードの組み合わせ(一部重複している可能性あり)が確認されました。漏洩したデータを投稿していたグループは、盗まれたログイン認証情報の取引やその他のサイバー犯罪行為に関与していた模様。
・2020年後半の事例
ダークウェブ上で「.edu」ドメインを持つアメリカの大学のアカウントのユーザー名およびパスワードが販売されているのが見つかりました。販売者は約2000件のユーザー名とパスワードの組み合わせを掲載しており、ビットコインウォレットへの寄付を要求していたそうです。なお、2022年初頭の時点で、認証情報を含むサイトにはアクセスできない状態になっています。
なお、FBIと独立系のセキュリティ研究者は、大学やその他の組織のIT担当者に対して「各地域のFBI支局と強い連携を築き、維持すること」を推奨しています。これにより、緊急事態が発生した場合に、関係者との意思疎通が容易になります。
この記事のタイトルとURLをコピーする
