セキュリティ企業Infobloxの新しいレポートによると、少なくとも18の米国の大学が、長期間にわたって継続的かつ組織的なフィッシング攻撃の被害に遭っていたことが明らかになりました。
Hackread.comと共有されたInfobloxのブログ投稿によれば、このキャンペーンは2025年4月から11月にかけて行われ、マルチファクター認証(MFA)が有効になっている場合でも、学生や職員のアカウント情報を盗み出すことを目的としていました。
攻撃手法:セキュリティの迂回
参考までに、MFAとは、パスワードを入力した後に、スマートフォンに届くコードを入力したり通知を承認したりする、追加の安全確認ステップのことです。今回の攻撃では、Evilginxと呼ばれる危険なオープンソースのフィッシングキットを使うことで、このMFAを迂回していました。
Evilginxは、Adversary-in-the-Middle(AiTM)手法を用いる、デジタル上の「仲介者」のような役割を果たします。学生が、個別にカスタマイズされたメールに含まれるフィッシングリンクをクリックすると、Evilginxは被害者と大学の本物のログインページの間にひそかに割り込みます。そして本物そっくりのログイン画面を装い、ユーザー名とパスワードに加え、MFA完了後にアクセス権を与えるセッションクッキーまで盗み出します。
このクッキーを盗まれると、攻撃者はアカウントを完全に乗っ取ることができます。研究者らは、メール内で使われていたリンクが、学校のシングルサインオン(SSO)ポータルから送られてきたように見える、短命なTinyURLの短縮リンクだったと指摘しています。
デジタルの足跡をたどる
Infobloxのレポートはまた、キャンペーンの運営者たちが、自分たちの痕跡を隠すために、攻撃リンクを頻繁に変更したり、サーバーの所在を隠す目的でCloudflareのようなサービスを利用したりしていたことも明らかにしました。しかし、標的となった機関の1つに所属するセキュリティ専門家からの最初の通報が、Infobloxによる調査のきっかけとなりました。
その後の調査では、ドメインがどのように問い合わせ・解決されるかを示すデジタル記録であるDNSパターンの分析が行われました。最終的に、InfobloxのThreat Intelチームは点と点をつなぎ合わせることに成功し、数か月にわたる攻撃で使われたおよそ70の異なるドメインを特定しました。最初に記録された攻撃は、2025年4月12日にサンディエゴ大学を標的として行われたものでした。
攻撃件数に基づく主な標的校トップ5は、カリフォルニア大学サンタクルーズ校、カリフォルニア大学サンタバーバラ校、サンディエゴ大学、バージニア・コモンウェルス大学、ミシガン大学でした。
Infoblox Threat Intel担当副社長のRenée Burton氏は、大学が依然として人気の標的であることに触れながら、こうした攻撃がもたらす深刻な被害を強調しました。同氏は特に懸念すべき事例として、「大学は依然として悪意ある攻撃者の一般的な標的であり、彼らは自らが引き起こす被害や、停止させるシステムの価値についてほとんど意に介していません」と述べ、ワシントン大学に対する攻撃では「最終的に、植物や動物標本のデジタルカタログの一部という、かけがえのない記録が破壊されてしまった」と詳細を説明しました。
これらの攻撃が成功した事実は、サイバー犯罪者がEvilginxのようなツールを使ってMFAを迂回する手口を、いかに素早く取り入れているかを示しています。そのため、大学の職員や学生による強固なセキュリティ意識と迅速な報告体制は、データを守るうえでこれまで以上に重要になっています。
翻訳元: https://hackread.com/us-universities-domains-phishing-attacks/
