はじめに
ただのインシデントレポートです。
注意喚起の意味も込めて書きます。
引用: https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/incidents-to-companies04.html
結論-なんだったのか?
此奴にひっかかりました。
自分とつながりのあるフォロワーさんを円にして画像で出力するといったアプリ。
何か楽しそうだなぁと思ってやったら悪意あるアプリでしたというやつ。
時系列
| 日時 | 詳細 |
|---|---|
| 13:39 | 不正アプリとX連携 |
| 13:45 | 見知らぬフォローが増える ※検知 |
| 13:51 | 不正アプリ連携解除、他セッションのログアウト、Xでの認証解除、パスワード変更など |
| 14:13 | ログ調査、影響範囲特定 |
| 14:26 | ツイート削除 |
事案詳細
検知
おすすめツイートから流れてきた「やりとりークル」というアプリで知り合いを出力するアプリが流れてきました。
楽しそうだったので自分でもやってみて面白かったのですが、これが始まりでした。
何やら見知らぬアカウントをフォローしていました。
これはおかしいと思って調査を開始します。
封じ込め
連携アプリの解除
認証アプリを許可した直後だったのでとりあえず認証アプリの解除を実施します。
他セッションのログアウト
「セキュリティとアカウントアクセス」→「アプリとセッション」→「セッション」を選択。
「他のすべてのセッションからログアウト」をクリック。これで現在入ってる自分のClient以外のセッションを切ることが出来ます。
Xでの認証解除
Xで認証許可していたアカウントの連携を解除します。
各連携アプリの手順に従ってください。大体設定から解除できます。
Password変更
最後にこれをします。タイミングから連携アプリかなと睨んでいたので最後にしたのもありますが、以下のように設定変更が一時凍結される恐れがあるので最後に実行しました。
情報収集、分析
素晴らしい情報提供
上記封じ込めが完了したほどに以下の上記で紹介した記事の注意喚起が某アカウントからメンションで来ます。
同様の手口が過去行われていたようです。
※なんで僕このアプリ知らなかったんだ。
ログ調査
不正アクセスの事実を確認します。
「セキュリティとアカウントアクセス」→「アプリとセッション」→「アカウントアクセス履歴」から確認します。
ホスティングサービスのIPのようです。ここから入られたみたいです。
連携アプリの権限調査
X内部のみでの権限を悪用するのようだ。
特段X上では機微情報をやり取りしないので機密性侵害は気にしなくてよい。完全性への侵害があるといったところか。
Xでの認証許可アプリの調査
念のためXでの認証を許可している(OAuth許可している)別のアプリでのアクセス履歴を確認する。大体設定にある。
以下はQiitaでのアクセス履歴を確認できる箇所である。
今回は不正アクセス履歴はなかった。
根絶
ここで被害拡大防止の観点でTwitterの投稿を削除した。
復旧
一番の対処は「 不正アプリ連携解除 」のようだ。追加での対応はなさそう。
復旧としてログアウトしたデバイスから新しいPasswordで入るのが面倒なくらい。
原因と対策
・X上での不審なアプリ情報を収集しきれていなかった。
⇒最新の情報だけでなく過去記事も定期的に読む習慣をつける。
・アプリ認証の許可
⇒安易にもうしません
まとめ
インシデント対応しんどい。
気を付けましょう。
はい、気を付けます。