TokyoBlackHatNews

malwarebytes.com 4分で読了

攻撃者はMFAをすり抜ける新たな手法を持っています

攻撃者はEvilginxというツールを使ってセッションクッキーを盗み、多要素認証(MFA)トークンを必要とせずに認証を突破しています。

研究者たちは、この手法が教育機関を対象に使われるケースが増えていると警告しています。

Evilginxは攻撃者が中間者となるフィッシングツールキットであり、あなたと本物のウェブサイトの間に入り込み、本物のサインインフローを中継することで、すべてが正常に見えるようにしつつ必要な情報を取得します。入力内容を本物のサービスに送信するため、ユーザー名やパスワードだけでなく、MFA完了後に発行されるセッションクッキーも収集できます。

セッションクッキーは、ウェブサイトが1回のブラウジングセッション中にあなたの操作を記憶するために使う一時ファイルです。例えば、サインイン状態の維持やショッピングカート内の商品保持などです。これらはブラウザのメモリに保存され、ユーザーがブラウザを閉じたりログアウトしたりすると自動的に削除されるため、永続的なクッキーよりもセキュリティリスクは低いとされています。しかし、有効なセッションクッキーがあれば、攻撃者はセッションを維持し、まるであなた本人であるかのように操作を続けることができます。これがネットショップや銀行サイトであれば、大きな損害につながる可能性があります。

攻撃の流れ

攻撃者は、銀行のログインページやウェブショップ、メール、会社のシングルサインオン(SSO)ページなどと全く同じ見た目の偽ページへのリンクを送ってきます。実際には、そのページは本物のサイトへのライブプロキシです。

違いに気付かず、通常通りユーザー名、パスワード、MFAコードを入力します。プロキシはこれを本物のサイトに中継し、アクセスが許可され、「このユーザーは認証済み」とするセッションクッキーが発行されます。

しかしEvilginxは、ログイン情報だけでなくセッションクッキーも盗み取ります。攻撃者はこれを再利用してあなたになりすますことができ、多くの場合、再度MFAを求められることはありません。

一度侵入されると、攻撃者はメールを閲覧したり、セキュリティ設定を変更したり、お金を移動したり、データを盗んだりできます。そしてセッションクッキーが「すでに認証済み」と示しているため、再度MFAのチャレンジが表示されないこともあります。攻撃者はセッションが期限切れになるか、取り消されるまで滞在し続けます。

銀行ではここで追加のチェックが行われることが多いです。たとえば、すでにサインインしていても支払いを承認する際に再度MFAコードを求める場合があります。これはステップアップ認証と呼ばれます。これにより、不正行為が減少し、お金の移動や支払い情報の変更などリスクの高い操作に対して追加の障壁を設けることで、強力な顧客認証ルールを満たします。

安全を保つには

Evilginxは有効なTLSとライブコンテンツで本物のサイトをプロキシするため、ページは正しく見え、正しく動作します。これにより、「鍵マークを確認する」といった単純なアドバイスや一部の自動チェックを無効化します。

攻撃者は非常に短時間しか存在しないリンクを使うことが多く、誰かがブロックリストに追加する前に消えてしまいます。​そのため、セキュリティツールはこれらのリンクやサイトのリアルタイムの挙動に頼らざるを得ませんが、挙動ベースの検出は完璧ではなく、攻撃を見逃すこともあります。

では、安全を保つためにできること・すべきことは以下の通りです:

  • 普段と違う方法で届いたリンクには注意しましょう。 送信者を確認し、リンク先にカーソルを合わせてからクリックしてください。迷ったときは、Malwarebytes Scam Guardをモバイルで使い、それが詐欺かどうか調べましょう。今後の対応について具体的なアドバイスが得られます。
  • ウェブ保護機能付きの最新のリアルタイムマルウェア対策を利用しましょう。
  • パスワードマネージャーを使いましょう。 保存した正確なドメインでのみ自動入力するため、paypa1[.]comやmicros0ft[.]comのような偽ドメインでは通常自動入力しません。ただし、Evilginxは本物のサイトとの通信の中間に入るため、これだけでは不十分な場合もあります。
  • 可能な限り、フィッシング耐性のあるMFAを利用しましょう。 パスキーやハードウェアセキュリティキーなど、認証をデバイスに紐付けるものはこの種のリプレイ攻撃に強いです。
  • 何か不審な点に気付いたらセッションを取り消しましょう。 すべてのセッションからサインアウトし、MFAで再ログインしてください。その後、パスワードを変更し、アカウントの復旧設定を見直しましょう。

プロのヒント:Malwarebytes Browser Guardは、ウェブサイト上の悪意ある挙動を検出できる無料のブラウザ拡張機能です。

翻訳元: https://www.malwarebytes.com/blog/news/2025/12/attackers-have-a-new-way-to-slip-past-your-mfa

ソース: malwarebytes.com
#2025年サイバーセキュリティ #2FA(二要素認証) #2FAフィッシング #Evilginx Phishing #MFAバイパス #クッキー盗難 #セッションハイジャック #パスワードマネージャー #リアルタイム保護 #教育機関への攻撃

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延