PoisonSeedがFIDOキーに触れずに突破

大規模なフィッシングキャンペーンで知られる悪名高い暗号ハッカー集団PoisonSeedが、斬新なソーシャルエンジニアリング手法でFast Identity Online（FIDO）の防御を突破する様子が確認されました。

Expelによって発見されたキャンペーンでは、悪名高いサプライチェーンフィッシング攻撃者が、FIDOキーで利用可能なクロスデバイスサインイン機能を利用していました。

FIDOキーは、他のMFA手法で見つかった脆弱性に対応するため、ハードウェアベースの多要素認証を使用しています。

「FIDOキーで保護されたアカウントのユーザーがフィッシングページにユーザー名とパスワードを入力すると、他のユーザーと同様に認証情報が盗まれます」とExpelの研究者はブログで述べています。「しかし、FIDOでアカウントが保護されている場合、攻撃者は2番目の認証手段に物理的にアクセスできません。」

PoisonSeedの攻撃者は、これを新たなトリックで突破したようです。FIDOキーを盗んだり複製したりする代わりに、攻撃者はユーザーにQRコードをスキャンさせます。これは正規のクロスデバイスサインインで表示されるQRと全く同じもので、これにより悪意あるログインが完了します。

「これは面白い攻撃であり、私たち全員が対策を講じる必要があります」とBugcrowdの最高情報セキュリティ責任者Trey Ford氏は述べています。「確かに実行可能であり、すべてのセキュリティ制御には何らかの失敗モードがあることを念頭に置く必要があります。」

クロスデバイスの利便性が標的に

PoisonSeedの手法は、多くのアイデンティティプラットフォームであまり理解されていないQRコードベースのクロスデバイスサインイン機能を悪用しています。攻撃者は、Oktaや同様のプロバイダーを模倣した偽のログインページを使用し、パスワード入力後にQRコードを表示します。ユーザーが正規の認証アプリでこのQRをスキャンすると、セッションが完了しますが、それは攻撃者のためのものです。

「認証情報は偽のOktaページで取得され、その後、正規のセカンダリデバイス向けに用意されたQRコードを表示するクロスデバイスサインインワークフローが実行されました」とSectigoのシニアフェロー、Jason Soroko氏は説明します。「フィッシングサイトはこのコードをユーザーに表示し、ユーザーが認証アプリでスキャンするとFIDOチャレンジが完了します。物理キーは一度も動かされていないにもかかわらずです。」

この手法により、キーは被害者のポケットに安全にあるまま、攻撃者にアクティブなセッションが与えられました。これはソーシャルエンジニアリングが依然として最大の弱点であることを証明しています、と彼は付け加えました。

Soroko氏は、可能であればクロスデバイスサインインをオフにし、予期しないデバイス登録や異常な地理的場所に注意することを推奨しています。

FIDOは破られていない、ただ出し抜かれただけ

Expelの研究者はこのキャンペーンを懸念すべき進展と呼び、FIDOキーが安全なMFAの頂点の一つと見なされていることを指摘しました。「FIDOキーに脆弱性が見つかったわけではありませんが、ITやSecOps担当者は注意を払う必要があります」と述べています。「この攻撃は、悪意ある攻撃者がインストール済みのFIDOキーを回避する方法を示しています。」

SlashNextのフィールドCTO、J Stephen Kowski氏は異なる解決策を提案しています。「組織はこの問題を真剣に受け止め、クロスデバイス認証時にデバイス間のBluetooth近接性を要求するなど、追加の安全策を検討すべきです。また、セキュリティソリューションがこのような高度なフィッシング攻撃をユーザーに届く前に検知・ブロックできるようにする必要があります」と述べています。どうしてもFIDOのクロスデバイスサインインを有効にする必要があるユーザーは、サインイン要求が疑わしい場所から来ていないか、見慣れない・予期しない・信頼できないキーの登録がないかをしっかり確認するようExpelは推奨しています。