新しいフィッシングフレームワークがMicrosoftとGoogleのログイン情報を盗む

Philip Steury Photography – shutterstock.com

セキュリティベンダーOktaの脅威インテリジェンスチームは、最近VoidProxyというフィッシングキャンペーンを発見しました。これは多要素認証（MFA）を回避します。「このフィッシングサービスは、SMSコードや認証アプリのワンタイムパスワード（OTP）など、複数の一般的な認証方法の保護を回避できます」とセキュリティ専門家は警告しています。

攻撃者は、Okta、OneLogin、AuthO、Microsoft Entra、およびGoogleなどのシングルサインオンプロバイダーをログイン保護に利用している企業を標的にしています。

調査報告書によると、攻撃はPhishing-as-a-Service（PhaaS）フレームワークに基づいており、Adversary-in-the-Middle（AitM）技術を利用しています。これは、両当事者の身元を模倣する高度なMan-in-the-Middle攻撃（MITM）の一種です（詳細は後述）。今回のケースでは、この手法を用いてリアルタイムで認証プロセスを傍受し、ログイン情報、MFAコード、ログイン時に作成されるすべてのセッショントークンを取得します。

「VoidProxyのようなPhaaSサービスは、サイバー犯罪者にとって技術的なハードルを下げ、ビジネスメール詐欺（BEC）、金融詐欺、データ流出、被害者ネットワーク内での横展開など、さまざまな攻撃の可能性を提供します」とOktaは説明しています。

フィッシングサービスには分析回避機能も搭載

Okta脅威インテリジェンス担当副社長のBrett Winterfordは、VoidProxyのフィッシングインフラを、MFA回避能力だけでなく、これまで分析から隠れていた点でも高度だと評価しています。「これは一時的なインフラ上にホストされ、さまざまな方法で脅威研究者による分析を回避しています」と専門家は述べています。

攻撃の流れは次の通りです。フィッシングの誘い文句は、Constant Contact、Active Campaign（Postmarkapp）、NotifyVisitorsなどの正規メールサービスプロバイダー（ESP）の侵害されたアカウントから送信されます。これによりスパムフィルターを欺くことが狙いです。

被害者がメッセージに騙されると、TinyURLやBitlyなどのURL短縮サービスを利用したリンクをクリックします。フィッシングサイトはCloudflareというインターネットセキュリティベンダーのプロキシの背後に配置されており、フィッシングサイトの実際のサーバーIPアドレスが効果的に隠されるため、セキュリティチームが悪意あるホストを特定・削除するのが非常に困難になります。

被害者のブラウザは、その後Cloudflare Worker（*.workers.dev）と通信します。これはサーバーレスのエッジコンピューティングフレームワークで、HTTPリクエストを変更・応答でき、同時に遅延を減らしアプリケーションのパフォーマンスを向上させます。研究者らは、このWorkerがゲートキーパー兼ローダーとして機能し、受信トラフィックをフィルタリングし、特定のターゲットに合わせたフィッシングページを読み込むと考えています。

Captcha認証を通過すると、ユーザーは正規のMicrosoftまたはGoogleログインポータルを完全に模倣した画面を目にします。しかし、自動スキャナーや他のセキュリティツールでサイトにアクセスしようとすると、機能のない一般的な「ウェルカムページ」にリダイレクトされます。

攻撃者のランディングページは、.icu、.sbs、.cfd、.xyz、.top、.homeなど、評判の低い安価なトップレベルドメインで登録されたドメインにホストされています。報告書によれば、これによりVoidProxyの運用コストが最小化され、ドメインを使い捨て資産として扱うことができます。特定されてブロックリストに載った場合、すぐに放棄できます。

ログイン情報はMan-in-the-Middleサーバーへ転送

被害者がフィッシングサイトにMicrosoftまたはGoogleの主要なログイン情報を入力すると、そのデータはVoidProxyの中央AitMプロキシサーバーに送信されます。ここでOktaによると、VoidProxyの巧妙で多層的な仕組みが発揮されます。

フェデレーテッドユーザー（連携IDユーザー）は、主要なログイン情報を入力した後、第二段階の追加ランディングページにリダイレクトされます。（連携IDユーザーとは、信頼できる機関によって認証されているため、毎回新たに認証しなくてもコンテンツやサービスにアクセスできるユーザーです。）非連携ユーザーは、プロキシインフラを介して直接MicrosoftやGoogleのサーバーにリダイレクトされます。

一時的なインフラ上にホストされたコアプロキシサーバーがAitM攻撃を実行します。このサーバーはリバースプロキシとして機能し、ユーザー名、パスワード、MFAの回答などの情報を取得し、Microsoft、Google、Oktaなどの正規サービスに転送します。正規サービスが認証を検証しセッションクッキーを発行すると、VoidProxyプロキシサーバーがこれを傍受します。クッキーのコピーは流出し、攻撃者の管理パネルで利用可能となります。攻撃者は有効なセッションクッキーを手に入れ、被害者のアカウントにアクセスできるようになります。

VoidProxyキャンペーンはSMSやOTPのリスクを浮き彫りに

「この報告書は、SMSやワンタイムパスワード（OTP）などの古い多要素認証方式と、セッショントークンの盗難を組み合わせたリスクを強調しています」とBeauceron SecurityのDavid Shipleyはコメントしています。「重要なのは、企業のユーザーが、アプリベースの2要素認証（2FA）などのより高度な方法が利用できない場合に備えて、回避策を持つことを確実にすることです。」

もう一つのポイントとして、Shipley氏はMFAへの移行をより簡単かつ便利にする必要があると付け加えました。「すべての人が、セッショントークンの有効期間や再認証について真剣に考え直し、現地にいる場合は不要だという考えを見直す必要があります。」

セキュリティ意識向上トレーニングでこの攻撃を未然に防げるでしょうか？SANS Instituteの研究部長Johannes Ullrichによれば、セキュリティ意識向上トレーニングは繰り返し効果がないことが示されています。

一方、Shipley氏はより楽観的です。「効果的なセキュリティ意識向上プログラムはリスクを低減できますが、完全に排除することはできません。当社の調査では、トレーニング直後でも誰かがフィッシングリンクをクリックする確率は3.5％です。90日後には15％、360日後には95％にまで上昇します。したがって、年1回の意識向上トレーニングでは不十分です。」

両者は、アンチフィッシング対策も重要であることに同意しています。「フィッシング耐性は認証の基本要件であるべきです」とUllrich氏は強調します。

フィッシングから身を守るためのヒント

Ullrich氏によれば、セキュリティ担当者が現代のフィッシング攻撃と防御策について知っておくべきことが2つあります。「第一に、認証方法はフィッシング耐性がなければなりません。ユーザーが特定のウェブサイト用のログイン情報を自分で選択できる方法は安全ではありません」とSANS Instituteの専門家は述べています。

彼は、ログイン情報を自動的にウェブサイトと照合しフィッシングから守るPasskeysのような方法を導入することを勧めています。また、ログイン情報を選択するパスワードマネージャーも一定の保護を提供しますが、「ユーザーは通常この安全策を回避することができます」と述べています。

Ullrich氏はさらに別の防御上の問題を指摘します。「実際のMan-in-the-Middle攻撃や、ブラウザプラグインのようなMan-in-the-Browser攻撃に対して安全な認証方法は存在しません。この場合、攻撃者は認証後のセッション用ログイン情報を取得でき、実際の認証方法は意味を持ちません。」

Googleは保護策としてDevice Bound Session Credentialsを提案しています。しかし、SANS InstituteのUllrich氏によれば、これはまだ広く採用されていません。

フィッシング攻撃から身を守るために、Oktaは次のステップを推奨しています：

• ユーザーをPasskeys、セキュリティキー、スマートカードなどの強力な認証方法に登録し、ポリシーでフィッシング耐性を徹底する。
• 機密性の高いアプリケーションへのアクセスは、エンドポイント管理ツールで管理され、エンドポイントセキュリティアプリで保護されたデバイスに限定する。感度の低いアプリケーションへのアクセスにも、基本的なサイバー衛生状態を示す登録済みデバイスを必須とする。
• あまり利用されていないネットワークからのリクエストは拒否するか、より高いセキュリティを要求する。
• 事前に定めたユーザー行動パターンから逸脱したアプリケーションアクセスリクエストを、行動・リスク監視ソリューションで特定する。ポリシーでリクエストの強化や拒否を設定できる。
• ユーザーに、疑わしいメールやフィッシングサイト、一般的なソーシャルエンジニアリング手法の兆候を見分けるトレーニングを行う。
• 自動化された修復措置を導入し、疑わしいインフラとのユーザーのやり取りにリアルタイムで対応する。
• すべての管理アプリケーションにIPセッションバインディングを適用し、盗まれた管理セッションの再利用を防ぐ。
• ユーザーが機密性の高い操作を行おうとした際には、再認証を強制する。

VoidProxyの他にも、現在同様のフィッシングキャンペーンが存在します。サイバーセキュリティ企業Ontinueの研究者は、Phishing-as-a-Service（PhaaS）フレームワークSalty2FAを使った別の攻撃キャンペーンについて最近報告しています。このケースでもMFA方式が回避されています。