米CDN(Content Delivery Network)大手のCloudflareは8月10日(現地時間)、米Twilioが7日に発表したものと同じ高度なソーシャルエンジニアリング攻撃を受けたが、日頃の備えが奏功し、すべて阻止したと発表した。

 Twilioが攻撃されたのとほぼ同時期に、Cloudflareの多数の従業員に対する攻撃があった。3人の従業員がこれにだまされたが、自社製品「Cloudflare One」ですべてのアプリへのアクセスに物理的なセキュリティキー(ハードキー)による認証を義務付けていたため、攻撃を阻止できたとしている。

 攻撃が始まったのは7月20日。セキュリティチームに対し、少なくとも76人の従業員が、個人用および仕事用のスマートフォンで不審なテキストメッセージを受け取ったと報告した。攻撃者がどのようにして従業員の電話番号リストを入手したかはまだ特定できていない。

 このリンクをタップすると、フィッシングページに移動した。このページはCloudflareのサービスへのログインを促すものだが、実際には入力したユーザー名とパスワードが攻撃者に送られる偽ページだ。

 3人の従業員が資格情報を入力してしまったが、認証にFIDO2準拠のセキュリティキーを使っていたため、攻撃者はユーザー名とパスワードを使ってシステムにログインしようとしても、ハードキー要件を回避することはできなかった。

 Cloudflareは、そのほか、自社のSecure Web Gatewayソリューションの「Cloudflare Gateway」やアプリの中央制御ポイントとして機能する「Cloudflare Access」などが安全性を高めていると説明した。

 同社は、ハードキーの採用、独自システムによる保護とともに、「偏執的でも非難のない文化」が重要という。フィッシング攻撃にだまされた3人の従業員を懲戒処分せず、今後も従業員が隠ぺいせずに問題を報告できる文化を醸成していくとしている。