Imperva のセキュリティ担当者によると、Dropbox、OneDrive、Google Drive、Box は、攻撃者がユーザーのプレーンテキストの認証情報にアクセスしなくても、中間者攻撃によって侵入される可能性があるという。
その代わりに、BlackHatに提出されたこの論文[PDF]の中で、同社のアプリケーション防御センターは、ユーザーのローカル同期フォルダがデータの傍受と流出のポイントとして十分に機能していると述べています。また、BlueCoatの調査結果から、これが「インセプション・フレームワーク」と呼ばれる攻撃の一部であったことが示唆されているとも述べています。
論文によると、問題はOAuth 2.0の同期トークンが悪用される可能性があることだ。トークンは予測可能な場所に保存されており、標的のマシンにアクセスできる攻撃者は、一種の豆と指ぬきのようなトリックを使って、同期サイクル中に被害者のマシンを騙して文書を渡してしまう可能性がある。
攻撃の核心は次のとおりです。「私たちが評価した各同期アプリケーションにおいて、アカウントのトークンをエンドステーションの適切な場所にコピーするだけで、同期アプリケーションをトークンが示すアカウントに切り替えることができました。したがって、攻撃者はトークンを盗むだけで被害者のアカウントにアクセスでき、被害者のパスワードを侵害する必要はありません。」
クラウド同期トークンが保存される場所 画像: Imperva
研究者たちは攻撃を実行するために「Switcher」というアプリケーションを開発しました。Switcherはマルウェアと容易に識別されるような動作を一切示さないと研究者らは述べています。攻撃後、Switcherは被害者のマシンから削除可能です。
フィッシングやドライブバイダウンロードなどを通じてユーザーを騙してSwitcherを実行させられる限り、「この比較的単純な攻撃によって、攻撃者は被害者のファイル同期アカウントを共有できる。そして、攻撃者は被害者が同期したファイルにアクセスし、悪意のあるコードを感染させることができる」と論文には記されている。
この論文で説明されているプロセスは次のとおりです。
- 1. 攻撃者は、被害者を騙す(例えばソーシャルエンジニアリングなど)か、エクスプロイトを利用してスイッチャーを実行します。スイッチャーは、攻撃者の同期トークンをドライブアプリケーションに埋め込みます。
- 2. この最初の切り替えが完了すると、スイッチャーは元の同期トークンを同期されたフォルダーにコピーします。
- 3. ドライブ アプリケーションが攻撃者のアカウントと同期します。
- 4. 攻撃者は被害者の同期トークンを入手します。
- 5. 攻撃者は盗んだ同期トークンを使用して、被害者のファイル同期アカウントに接続します (たとえば、攻撃者のマシン上の Switcher ツールを使用)。
- 6. スイッチャー ツールは被害者のマシンで 2 回目に実行され (したがって、「ダブル スイッチ」)、被害者の元の同期トークンが復元され、基本的にドライブ アプリケーションが元の状態に復元されます。
Imperva は、データの窃取以外にも、攻撃者は文書を改ざんすることも可能だと説明している (たとえば、Word ファイルに悪意のあるマクロを埋め込むなど。これは再び流行り始めている)。
この攻撃は、ユーザーの同期フォルダへの変更がSwitcherプロセスを起動する可能性があるため、攻撃者が被害者に永続的にアクセスできるようにするためにも多様化されています。つまり、「攻撃者は被害者のクラウドストレージをC&Cおよびリモートアクセスのインフラストラクチャとして利用する」のです。
研究者らは、この攻撃に対処する最善の方法は、ユーザーがクラウド アクセス セキュリティ ブローカーを導入して企業のクラウド サービスの使用状況と動作を監視し、「不正アクセス」を識別するソリューションで企業データをラップすることだと述べています。®
