結論から言えば、まずこれらの事例では、従業員が会社のパソコンで個人利用のGoogleアカウントにログインして日常的に使っていたことで、業務用のパスワードまでその個人アカウントに自然と同期される状態だった。
つまり、その個人アカウントが乗っ取られた結果、芋づる式に会社関連のパスワードまでも攻撃者の手に渡ってしまったというわけだ。
次に、どのように多要素認証を突破されたのかという点だが、攻撃者は盗んだパスワードでログイン試行を繰り返し、承認通知を何度も発生させたうえで、ITサポートを装った電話で承認を促し、従業員は最終的に承認ボタンを押してしまった。
別の手口では、深夜に承認通知を繰り返し発生させるケースもある。従業員にとってみれば、寝ている間に何度もスマートフォンの通知が鳴り眠りを妨げられることになる。寝ぼけまなこのまま、目覚ましを消すように承認してしまう。攻撃者はその一瞬の気の緩みを意図的に狙っていたのだ。
また同様の被害は、一企業の社内システムにとどまらない。例えば、ある国の大手通信事業者で、従業員1人のパスワード漏洩をきっかけに、数時間にわたって大規模な通信障害が発生したこともある。
つまりたった1人のミスが、会社全体を超えて、国の通信を担うインフラにまで被害を及ぼしたわけだ。
マルウェアはどうやって届くのか
いずれの侵害も、パスワードの漏洩がきっかけになっている。そして、そのパスワードを盗み出す道具として広く使われているのが、いわゆるコンピュータウイルス=「マルウェア」だ。
企業への攻撃では、従業員のマルウェア感染が発端となるケースが少なくない。マルウェアの中には、世間を騒がせているランサムウェアを呼び寄せるものもある。一度侵入を許せば、業務そのものが止まる事態にもつながりうる。
トピックボードAD
有料会員限定記事
ビジネスの人気記事
無料会員登録はこちら
ログインはこちら