コンテンツにスキップするには Enter キーを押してください

PoisonSeedハッカー、QRフィッシングとクロスデバイスサインインの悪用でFIDOキーをバイパス

投稿日 2025年7月21日

2025年7月21日Ravie Lakshmanan脅威インテリジェンス / 認証

Image

サイバーセキュリティ研究者は、攻撃者が偽の企業ログインポータルからの認証リクエストをユーザーに承認させることで、Fast IDentity Online(FIDO)キーの保護をバイパスできる新しい攻撃手法を公開しました。

FIDOキーは、公開鍵・秘密鍵暗号を用いてログインを特定のドメインに紐付け、フィッシングを排除するために設計されたハードウェアまたはソフトウェアベースの認証器です。今回のケースでは、攻撃者は正規の機能であるクロスデバイスサインインを悪用し、被害者に気付かれずに悪意のあるセッションを認証させます。

Expelが野外で観測したフィッシングキャンペーンの一環として、この活動はPoisonSeedと呼ばれる脅威アクターに帰属されています。PoisonSeedは最近、顧客関係管理(CRM)ツールや大量メール配信サービスに関連する認証情報を侵害し、暗号資産のシードフレーズを含むスパムメッセージを送信して被害者のデジタルウォレットを抜き取る手口が報告されています。

「攻撃者はFIDOキーで利用可能なクロスデバイスサインイン機能を悪用しています」と研究者のBen Nahorney氏とBrandon Overstreet氏は述べています。「しかし、今回の悪意ある攻撃者はこの機能を中間者(AitM)攻撃に利用しています。」

この手法はすべてのシナリオで機能するわけではありません。特に、Bluetoothやローカルデバイス認証などの厳格な近接チェックを強制しないクロスデバイスフローで認証するユーザーを標的としています。ユーザーの環境がログインデバイスに直接接続されたハードウェアセキュリティキーや、ブラウザコンテキストに紐付いたFace IDのようなプラットフォームバウンド認証器を要求する場合、この攻撃チェーンは成立しません。

クロスデバイスサインインは、パスキーを持たないデバイスで、暗号鍵を保持する別のデバイス(例:スマートフォン)を使ってサインインできる機能です。

Expelが記録した攻撃チェーンは、受信者を企業のOktaポータルを模倣した偽のサインインページに誘導するフィッシングメールから始まります。被害者が認証情報を入力すると、その情報は偽サイトから本物のログインページに密かに中継されます。

その後、フィッシングサイトは正規のログインページに対し、認証のためにハイブリッドトランスポート方式を使用するよう指示します。これにより、ページはQRコードを生成し、それがフィッシングサイトに送信され、被害者に提示されます。

Image

ユーザーがモバイルデバイスの認証アプリでQRコードをスキャンすると、攻撃者は被害者のアカウントに不正アクセスできるようになります。

「この攻撃では、悪意ある攻撃者が正しいユーザー名とパスワードを入力し、クロスデバイスサインインを要求しています」とExpelは述べています。

「ログインポータルはQRコードを表示し、フィッシングサイトはそれを即座に取得して偽サイト上のユーザーに転送します。ユーザーがMFA認証器でスキャンすると、ログインポータルとMFA認証器が通信し、攻撃者が侵入します。」

この攻撃の注目すべき点は、FIDOキーによる保護をバイパスし、脅威アクターがユーザーアカウントへのアクセスを得られることです。この侵害手法はFIDOの実装上の欠陥を悪用するものではありません。むしろ、正規の機能を悪用して認証プロセスをダウングレードしています。

FIDO2はフィッシング耐性を備えるよう設計されていますが、そのクロスデバイスログインフロー(ハイブリッドトランスポート)は、Bluetoothなどの近接検証が強制されていない場合に悪用される可能性があります。このフローでは、ユーザーはパスキーを保持するモバイルデバイスでQRコードをスキャンすることでデスクトップにログインできます。

しかし、攻撃者はフィッシングサイトを介してそのQRコードをリアルタイムで傍受・中継し、ユーザーに偽ドメインで認証を承認させることができます。これにより、安全な機能がフィッシングの抜け穴となり、プロトコルの欠陥ではなく実装の柔軟性が原因となります。

Expelはまた、脅威アクターがフィッシングメールを通じてアカウントを侵害し、ユーザーのパスワードをリセットした後、自身のFIDOキーを登録した別の事例も観測したと述べています。

いずれにせよ、この発見はアカウントライフサイクルのすべての段階、特にリカバリー時にもフィッシング耐性のある認証を採用する必要性を強調しています。フィッシングに弱い認証方式を使用すると、アイデンティティ基盤全体が危険にさらされる可能性があります。

「FIDOキーに対するAitM攻撃や攻撃者が管理するFIDOキーは、悪意ある攻撃者と防御側がユーザーアカウントの侵害・保護を巡って競い合う事例の最新例に過ぎません」と研究者らは付け加えています。

翻訳元: https://thehackernews.com/2025/07/poisonseed-hackers-bypass-fido-keys.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です