VaultJacking攻撃ベクターの誕生
たった一つの数字PINが、Googleのパスワードリポジトリをセキュリティのないゲートウェイへと変えてしまう可能性がある。こうした背景から、新たに登場したVaultJackingフィッシング手法は、アイデンティティ管理における重大な欠陥を浮き彫りにしている。この手法は、コアとなる同期メカニズムが攻撃者に侵害された場合、パスキーでさえも機能しないことを証明している。
具体的には、PhishUのセキュリティアナリストが、このベクターが中間者(Adversary-in-the-Middle)フレームワークを活用していることを発見した。攻撃者はユーザーを偽のGoogleログイン画面へ誘導し、セッション中にコア認証情報、有効なセッションクッキー、および6桁のセキュリティPINを詐取する。
暗号鍵窃取のメカニズム
根本的に、取得されたPINは侵入シーケンス全体の基盤となる要素として機能する。このコードを手にした悪意ある攻撃者は、ユーザーの信頼済みデバイス一覧に自らの不正なデバイスをスムーズに追加する。この登録が完了すると、自動システムが信頼済みセキュリティドメインの秘密暗号鍵を配布する。最終的に攻撃者は、この鍵を用いてキャッシュされたすべての認証情報と保存されたパスキー設定を復号する。
個別サービスを単独で狙う通常のフィッシングキャンペーンとは対照的に、VaultJackingはリポジトリ全体のダンプを実行する。そのため、一度の侵害で複数の外部プラットフォームにわたる同期済みリポジトリが露出する。結果として、脅威グループはプライマリメールサーバー、金融機関、エンタープライズ基盤、そして暗号資産アカウントへの即時アクセスを獲得する。
WebAuthn境界防御の限界
注目すべきことに、PhishUは、この悪意ある手法が物理的なセキュリティキーで強化されたアカウントに対しても問題なく機能することを確認している。確かに、WebAuthnハードウェアプロトコル自体の構造的完全性は維持されている。ネイティブのドメインバインディングアーキテクチャは、個別ドメインを対象とした認証試行の保護を継続している。しかしVaultJackingは、より広範なストレージ同期パイプラインを標的にすることで、この防御層を体系的に回避する。
アカウントPINを入手した攻撃者は、自らの管理下に置いた二次的な暗号パスキーを登録する。その後、悪意あるプロキシ環境を通じて標的のインフラに認証し、不正なデバイスを接続する。一方、被害者はこの不正なデバイス登録中にリアルタイムの警告をほとんど受け取らない。プラットフォームは既存の信頼済み画面に対話型の確認プロンプトを表示せず、汎用的な通知メールを送信するだけである。さらに、攻撃者がプライマリ受信トレイをすでに掌握している場合、これらの自動セキュリティ警告を容易に隠蔽できる。
エコシステムリスクの比較と企業向け緩和策
セキュリティアナリストはこの脆弱性を、Googleの許容的なアーキテクチャ設計に起因するものと明確に指摘している。具体的には、このエコシステムが脆弱な短いPINコードによる新規デバイスの接続を許可している点が問題である。対照的に、AppleのiCloud Keychainは既存の信頼済みデバイスからの明示的かつ必須の認証を要求する。この防御的な摩擦が、傍受された認証情報トークンの有用性を大幅に低下させている。
これを受けてPhishUは、Google Workspaceを利用する企業のセキュリティ管理者に対し、デバイス登録ログを細心の注意を払って監査するよう勧告している。セキュリティオペレーションセンターは、未確認のデバイス登録を侵害の確定的な指標として扱わなければならない。また、Chrome内で業務用と個人用のウェブプロファイルを分離することで、エクスプロイトの潜在的な被害範囲を大幅に縮小できる。
翻訳元: https://meterpreter.org/vaultjacking-google-password-phishing-passkey-exploit/
