FBIのメールアカウントが乗っ取られ、フェイクメールを大量配信(原因発表)
米連邦捜査局(FBI)の公式アカウントから11月12日午後から不審なメールが10万人以上に届き、セキュリティ組織がそれはフェイクだと警告した。FBIもこの問題を認識している。攻撃したと名乗るPompompurinは「脆弱性を指摘するのが目的」と語った。
米連邦捜査局(FBI)は11月13日(現地時間)、公式メールアカウントが乗っ取られ、偽の電子メールを配信した事件を認識していると発表した。現在調査中で、これ以上の情報は提供できないとしている。侵入されたメールサーバは問題発見後すぐにオフラインにしたという。
この件については、スパム情報収集の非営利組織Spamhausが同日「FBIおよびDHSから“恐ろしい”メールが送信されている。実際にFBIとDHSのインフラから送信されているが、われわれの調査によると、これらのメールは偽物だ。これらの偽警告メールは、ARINデータベースから取得されたアドレスに送信されているようだ。ヘッダは本物であり、FBIのサーバから配信されているため混乱を引き起こしている」とツイートで警告した。10万以上のメールアドレスに偽警告メールが送られたという。
本物のインフラから送信されたため、スパムフィルタをかいくぐって多数の人々に送りつけられた。だが、多数のスペルミスが含まれ、内容はセキュリティ企業Shadowbyteの創業者、ビニー・トロイア氏が「FBIをサイバー攻撃している」という疑わしいものだった。
セキュリティジャーナリストのブライアン・クレブス氏は同日、同じFBIアカウント(eims@ic.fbi.gov)から「Hi its pompompurin,」で始まるメールを受信したとブログで発表した。Pompompurinと名乗る攻撃者はクレブス氏とのインタビューで、この攻撃の目的は、FBIのシステムの脆弱性を指摘することだと語り、攻撃の手口を解説した。
偽メールがビニー・トロイア氏を中傷していることについて、Bleeping Compuerは、ハッキングコミュニティRaidForumsのメンバーがトロイア氏と長年確執を持っていると指摘した。
トロイア氏自身も、pompompurinが攻撃者である可能性が高いとツイートでほのめかした。pompompurinは過去に同氏の評判を傷つけようとした事件に関連していたという。
【更新履歴:2021年11月15日午前5時50分 FBIがプレスリリースを更新し、原因を説明したのでそれに沿って以下を追加しました。】
FBIは14日午後にプレスリリースを更新し、攻撃者はFBIが法執行機関、諜報機関、刑事司法機関に提供しているポータルサービス「Law Enforcement Enterprise Portal(LEEP)」の設定の問題を悪用して偽メールを送信したと説明した。これはpompompurinがクレブス氏に語ったことと一致する。
FBIは、「偽メールはFBIが運営するサーバから発信されたが、このサーバはLEEP参加者へのプッシュ通知専用であり、FBIのメールサービスとは隔絶されている。FBIのデータや個人情報にアクセスしたり侵害したりはされていない」としている。
関連記事
- FBIの偽メール大量配信の手口を“pompompurin”が解説
米連邦捜査局(FBI)の正式メールアカウントから10万人以上に偽メールが送信された件について、実行したという“pompompurin”が手口を解説した。LEEPアカウント申請過程で配信されるワンタイムパスコードがFBIのWebサイトから簡単に取得できたとしている。 - CISA、FBI、NSAがBlackMatterランサムウェア対策アドバイザリー公開
CISA、FBI、NSAがランサムウェア対策アドバイザリーを公開した。サンドボックス環境で分析したBlackMatterランサムウェアのデータに基づく、犯罪者の戦術、技術、攻撃手順に関する情報を提供するもの。 - 米国、対ランサムウェアで官民連携 MicrosoftやGoogle、FBIやNSAなどが参加
米連邦政府のサイバーセキュリティ諮問機関CISAがランサムウェアと戦う新イニシアチブ「Joint Cyber Defense Collaborative」(JCDC)を発表。MicrosoftやGoogleなど、20社以上の民間企業も参加する。 - FBI、EUROPOL、AFPがおとり暗号化アプリ搭載スマホで犯罪組織を多数摘発
FBIは2018年に立ち上げた暗号化チャットのプラットフォームによる国際的なおとり作戦「Trojan Shield」の成果を発表した。専用スマートフォンを犯罪組織などに1万2000台上販売し、管理するマスターキーで復号したメッセージを読むことで多数の犯罪者逮捕や麻薬押収という成果を上げた。 - 米石油パイプライン大手へのサイバー攻撃、犯人はロシアを拠点とする集団「DarkSide」とFBIが発表
FBIは、7日石油パイプライン大手のColonialが発表したランサムウェア攻撃には「DarkSide」というハッカー集団が関わっていると発表した。バイデン大統領は「この集団はロシア政府とは無関係だがロシアを拠点としている」と語った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.