Telegramで配布されているこのサービスは、AI支援によるおとりコンテンツの生成、デバイスコードフィッシング、そして攻撃者側でのセッション更新を組み合わせており、アカウント侵害後の封じ込めを一層困難にしています。
Telegramを通じて配布されている、新たに確認されたフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが、Microsoft 365アカウント乗っ取りの技術的な敷居を下げています。スキルの低い攻撃者にも、一部の認証制御を回避し侵害後もアクセスを維持できる自動化ツールを提供しているのです。
「Forg365」と呼ばれるこのプラットフォームは、AI支援によるおとりコンテンツ生成に加え、デバイスコードの悪用やAiTM(Adversary-in-the-Middle)技術を組み合わせて利用しています。これはセキュリティ企業ZeroBECが公開した調査によるものです。
研究者によれば、Forg365は5日間の無料トライアルを提供したうえで、月額400ドルまたは年額3,800ドルのサブスクリプション料金で利用できるようになっていたとのことです。
利用者は単一のオペレーターパネルを通じてフィッシングのおとりコンテンツを作成し、メール配信を制御できます。さらに、窃取したアカウント情報を管理したり、侵害したMicrosoft 365メールボックスを監視したりすることも可能です。このサービスには、DocuSign、Adobe Acrobat Sign、SharePoint、OneDriveといった広く使われているビジネスプラットフォームになりすますテンプレートが含まれています。
Omdiaでマネージドセキュリティサービス担当のシニアアナリストを務めるJonathan Ong氏は、「フィッシング・アズ・ア・サービス自体はすでに何年も前から存在しています」と述べています。「しかし、ForgO365にどれだけAIが組み込まれ、利用者を後押ししているか、その度合いが懸念される点です」。
サイバーセキュリティ研究者のDevashri Datta氏によると、Forg365の重要性はオペレーター向けワークフローの工業化・製品化にあるといいます。「AI支援によるおとりコンテンツ生成、検知回避、侵害後のメールボックス操作を、Telegramを通じて配布されるサブスクリプションサービスへと統合しているのです」とDatta氏は述べています。
Forg365の仕組み
ZeroBECによると、同社が調査したキャンペーンは、ビジネス文書と送金承認を口実としたメールから始まっていました。このメッセージは正規のクラウドサービスやメールサービスを利用し、受信者を複数のリダイレクトへと誘導していました。
Forg365は訪問者を分類したうえで、デバイスコードフィッシングページ、AiTMフロー、あるいは無害なおとりページのいずれを表示するかを判断していました。
デバイスコード攻撃では、被害者は正規のMicrosoft認証プロセスへと誘導され、攻撃者が制御するセッションを承認するコードの入力をそそのかされます。正規のMicrosoftインフラが関与することで、この要求が信頼できるものに見えてしまう可能性があります。
このプラットフォームはAiTM攻撃を通じて認証を中継し、セッション情報を取得することも可能です。ZeroBECによると、不審な訪問者は無害なページへと振り分けられており、これによりオペレーターは研究者や自動化されたセキュリティツールからフィッシングフローを隠蔽しやすくなっていました。
インシデント対応を複雑化させる要因
ZeroBECによれば、「ForgCookie」と呼ばれるブラウザ拡張機能を使うことで、攻撃者は自分自身のブラウザからMicrosoftのシングルサインオンCookieを生成・更新できるといいます。
Forg365はさらに、セッションを維持し、侵害したメールボックスを監視するためのツールも提供しています。メールボックスへの読み取り専用アクセスは、パスワード保護されたリンクを通じて共有することができます。
その結果、パスワードをリセットするだけでは攻撃者を排除できない可能性があります。窃取されたリフレッシュトークンや攻撃者が制御するセッションは、パスワード変更後も使用可能な状態のまま残ることがあるためです。侵害が発生していた期間に登録されたデバイスについても、調査が必要です。
Datta氏は、デバイスコード認証を厳格に制限することと、FIDO2やWebAuthnパスキーといったフィッシング耐性のあるMFAを導入することについて、「CISOはこの2つの対策を、順序をつけるのではなく同等の優先事項として扱うべきです」と述べています。
Confidisの創業者兼CEOであるKeith Prabhu氏は、デバイスコード認証を必要としない組織については、Microsoft Entra IDでこれをブロックすることを検討すべきだと述べています。これによりForg365キャンペーンのデバイスコードを利用する部分を妨害できますが、AiTM技術や窃取されたセッションCookieに依存する攻撃までは阻止できません。
依然としてデバイスコード認証に依存している企業は、より広範な制限を課す前に、正当な用途を洗い出しておく必要があります。一部のコマンドラインツールや会議室のシステム、その他入力機能が限られたデバイスについては、例外措置が必要になる場合があります。
Datta氏によると、フィッシング耐性のある認証方式を導入するには、ハードウェアセキュリティキーや管理対象スマートフォンが必要になる場合があり、移行期間中はサポート依頼が増加する可能性もあるといいます。
侵害を検知した後、対応チームは有効なリフレッシュトークンを失効させ、既存のセッションを終了させる必要があります。Prabhu氏はまた、不正なOAuth権限を確認し、失効させることも推奨しています。ForgCookieは攻撃者のブラウザ上で動作するため、ZeroBECによれば、防御側は見慣れないアドレスからの繰り返しのサイレントサインインや、非対話型のMicrosoft Graphアクティビティに注意を払うべきだといいます。
Prabhu氏は、メールボックスの転送ルールと委任アクセスについて、不正な変更がないか確認すべきだと述べています。こうした変更により、攻撃者は通信内容を監視したり、パスワードリセット後もアクセスを維持したりできてしまう可能性があるためです。
Datta氏は「インシデント対応チームは、新たに登録されたデバイスを監査し、ユーザー本人によるものと特定できないものはすべて削除すべきです」と述べています。また、侵害の過程で攻撃者が不正な認証アプリやパスキーを登録していないかどうかも確認すべきだと付け加えています。
ZeroBECの調査では、侵害の過程で登録されたデバイスの一部に「Forg365」で始まる名前が付けられていたことが判明しており、これが防御側にとって侵害の兆候となり得る手がかりになるとしています。