FIDO認証が突破される

FIDO標準は一般的に安全かつユーザーフレンドリーと見なされています。これはパスワードレス認証に利用されており、フィッシング攻撃に対する有効な手段と考えられています。しかし、Proofpointの研究者たちは、FIDOベースの認証を回避する新たな方法を発見しました。専門家たちはこの目的のためにダウングレード攻撃の手法を開発し、Microsoft Entra IDを例にテストしました。

FIDO認証ダウングレード攻撃の仕組み

フィッシングキャンペーンは通常、FIDOパスキーで保護されたアカウントには失敗します。しかしProofpointによると、特定のFIDO実装はダウングレード攻撃に対して脆弱です。この攻撃手法では、ユーザーをだましてより安全性の低い認証方法を使わせます。

研究者たちの出発点は、すべてのウェブブラウザがFIDOパスキーをサポートしているわけではないという事実でした。たとえばWindows上のSafariなどです。Proofpointによれば、この機能的なギャップを攻撃者が悪用する可能性があります。「サイバー犯罪者は、FIDO実装によって認識されない未対応のユーザーエージェントを偽装するAdversary-in-the-Middle（AiTM）攻撃を適応させることができます。その場合、ユーザーはより安全性の低い方法で認証せざるを得なくなります」とProofpointは述べています。

これが実際にどのように悪用されるかを示すため、Proofpointの専門家はAiTMフレームワークEvilginx用のフィッシュレットを開発しました。これは、フィッシングキットでウェブサイトを偽装し、ログインデータやセッショントークンを盗むために使われる設定ファイルです。Proofpointによると、この攻撃シーケンスが可能なのは、FIDO認証付きのユーザーアカウントが通常、代替のログイン方法（多くの場合は多要素認証（MFA））をフォールバック手段として使用しているためです。

セキュリティ専門家によれば、攻撃の流れは以下の通りです：

• 攻撃対象にフィッシングリンクが送信されます（例：メール、SMS、OAuthリクエストなど）。
• 悪意のあるリンクがクリックされると、認証エラーが報告され、代替のログイン方法が提案されます。
• 攻撃されたユーザーがこれを利用して偽のインターフェースからログインすると、ログインデータとセッションクッキーが盗まれます。
• これにより攻撃者はセッションを乗っ取り、標的のアカウントを掌握できます。これがデータの持ち出しや、影響を受けた環境内での横展開の入り口となります。

Proofpointによれば、現時点でこの攻撃手法が実際にサイバー犯罪者によって使用されている証拠はありませんが、セキュリティプロバイダーはダウングレード攻撃を重大な新たな脅威と位置付けています。専門家は警告します：「ますます多くの組織がFIDOのような『フィッシング耐性』のある認証方法を導入しているため、将来的に攻撃者がFIDO認証のダウングレードを自らの攻撃手順に組み込む可能性があります。」