この攻撃は、従業員にハッカーがMicrosoftのログイントークンを取得できるURLを自ら作成させるよう仕向ける。
ConsentFix攻撃の新しい点は、研究者によれば、攻撃が完全にブラウザ内で完結することにある。これにより、攻撃がエンドポイントに一切触れないため、本来であれば検知の重要な機会となるポイントが失われてしまう。
攻撃はまず、被害者がGoogle検索で探していた正規だが侵害されたWebサイトにアクセスするところから始まる。これにより、メールベースのアンチフィッシング対策は完全に回避される。サイトにアクセスすると、CloudflareのCAPTCHA風の偽の認証ページが表示され、被害者に「人間であること」を証明するため、ビジネス用メールアドレスの入力を求める。入力すると、Microsoftのログインページがポップアップ表示されるが、そこには被害者のメールアドレスに基づいた正規のURLが含まれており、本来であればOAuthトークンが含まれるはずのものだ。被害者は再び「人間であること」を証明するためとして、そのURLをコピー&ペーストして入力欄に貼り付けるよう求められる。このURLが脅威アクターに取得されることで、被害者は結果的に、Azureのコマンドラインインターフェースを通じて自分のMicrosoftアカウントへのアクセス権を攻撃者に与えてしまうことになる、と研究者らは説明している。
「この時点で、攻撃者は被害者のMicrosoftアカウントを実質的に制御できる状態になりますが、パスワードをフィッシングしたり、多要素認証(MFA)チェックを突破したりする必要は一切ありません」とPush Securityは述べている。「実際、ユーザーがすでにMicrosoftアカウントにログイン済み(つまり有効なセッションがある)であれば、ログイン自体がまったく不要なのです。」
ソーシャルエンジニアリングの専門家であり、カナダ拠点の企業Cybercrime Analyticsの社長であるChristopher Kayser氏は、この攻撃は脅威アクターが好んで用いる2つの戦術、すなわち「服従」(このURLをカット&ペーストせよ)と「信頼」(これはMicrosoftのログインページに見える)を悪用していると指摘する。「人々は、信頼された[Microsoft]プラットフォーム上にいるのだから大丈夫だと思い込んでしまうのです」と同氏はインタビューで語った。
しかしこの攻撃は、多くの組織が実施しているセキュリティ意識向上トレーニングの限界も浮き彫りにしている。トレーニングが有効であれば、アプリが「人間であること」の確認としてビジネス用メールアドレスを求めてきた時点で、従業員は何かおかしいと疑うべきだと同氏は言う。また、「人間であること」の証明として、オンラインで何かをカット&ペーストするよう求められた場合、それが不審であると認識できなければならないとも述べた。
「これは非常に新しく、革新的な攻撃手法です」と、KnowBe4のデータ駆動型防御CISOアドバイザーであるRoger Grimes氏はコメントする。「Clickfixのサブバリアントと分類するのは、たとえそうではあるにしても、ほとんど不公平と言えるほどです。」しかし同氏は、従業員が自分が人間であることを証明するテストとして、長いURL文字列をコピーする可能性は極めて低いはずだと付け加える。「これは、最も知識のないユーザーであっても、明らかに普通ではなく、怪しいと感じるはずです。あなたの祖父母がこんなことをする姿を想像できますか?私はできません。でも、実際にやってしまう人がいるからこそ、詐欺師たちはこの手口を試すのでしょう」と同氏は述べた。
「私の推測では、この手口の成功率はあまりにも低いため、私たちの多くが心配しなければならないほど一般的な詐欺手法にはならないでしょう」と同氏は言う。「私たちがユーザーに伝えるべきなのは、Cloudflareのブランドがソーシャルエンジニアリング詐欺でどれほど頻繁に悪用されているか、そして正しいCloudflareの認証・検証がどのようなものかという点です。CloudflareのCAPTCHAチェックは、今日の世界における“偽アンチウイルス画面”のような存在になっています。」
組織は、ConsentFix攻撃が、ファーストパーティアプリケーションに対する暗黙の信頼の危険性と、レガシーなOAuthスコープを使い続けることのリスクを浮き彫りにしていることを認識しなければならないと、GartnerでAIの信頼性・リスク・セキュリティ管理のリードアナリストを務めるAvivah Litan氏は述べる。これには、Microsoft Entra ID内の古い権限セットが含まれており、広範なアクセスを許可する一方で、最新のセキュリティコントロールや監視の対象になっていない。
「攻撃者は、こうしたレガシースコープを悪用してディレクトリデータを列挙します。つまり、組織内のユーザーアカウント、グループ、その他のディレクトリオブジェクトを体系的に取得・マッピングできるのです」と同氏は説明する。「この偵察により、攻撃者は高価値の標的を特定し、さらなる攻撃を計画できますが、その過程で、新しくより厳格に制御された権限であれば発生していたはずのアラートを一切発生させずに済んでしまいます。」
Litan氏は、この種の攻撃に対する最も効果的な緩和戦略は、強力な監視、同意ガバナンスの強化、そしてリアルタイムのユーザー保護を組み合わせることだと指摘する。「これらの基盤的な問題、具体的にはレガシーOAuthスコープの使用を制限し、すべてのアプリケーションに対する同意プロセスを厳格化し、ブラウザベースのセキュリティを導入することで、企業はOAuth同意の乱用による不正アクセスのリスクを大幅に低減し、全体的なアイデンティティセキュリティ体制を強化することができます。」
Push Securityは、この攻撃が成功しうる理由として、Azure CLIのようなファーストパーティアプリを標的にしている点を挙げている。これにより、サードパーティアプリ連携に対して利用可能な多くの緩和コントロールが適用されなくなる。ログイン自体が不要であるため、パスキーのようなフィッシング耐性のある認証コントロールも、この攻撃にはまったく影響を及ぼさないと研究者らは付け加える。さらに、高度な検知回避技術が用いられているため、この攻撃の調査は困難であり、その結果、多くの攻撃が検知されずに終わっている。
問題の一つは、多くのセキュリティ意識向上トレーニングが、従業員がフィッシング詐欺に引っかかる確率を十分に下げられていないことだと、Kayser氏は述べている。
同氏は、カリフォルニアのある病院で8か月間にわたり従業員に送信されたフィッシングメッセージを調査した研究を引用した。サイバーセキュリティ意識向上コースを受講した従業員は、受講していない従業員と同程度の割合でフィッシングメッセージに引っかかっていたという。
トレーニングが失敗する理由として、講師が技術的な専門用語を多用しすぎることが多いと同氏は指摘する。その代わりに、攻撃とは何か、どのように機能するのか、そしてどう見分けるのかを説明すべきだという。
「何が起きているのかを人々に説明できれば、それは記憶に残るのです」と同氏は強調した。
