出典:Jason Edwards(Alamy Stock Photos経由)
「PoisonSeed」として知られる脅威アクターが、組織内のFIDOベースの保護を回避できる新しい攻撃手法を用いたと報告されています。
これは、MDRベンダーのExpelが今週発表した「PoisonSeedがFIDOキーを回避しユーザーアカウントを『取得』する」というレポートによるものです。FIDO(Fast Identity Online)は、認証のための技術非依存の仕様群を指します。この技術は、もともとFIDOアライアンスによって開発され、セキュリティのゴールドスタンダードとされており、物理的なセキュリティキーなどのパスワードを使わない認証技術でよく見られます。
Expelの調査は、FIDOセキュリティキーのクロスデバイスサインイン機能を利用して、特定の保護を回避しながら被害者へのアクセスを得る戦略について述べています。このレポートはFIDO技術自体の脆弱性についてではありませんが、守る側にとって、フィッシング耐性のあるセキュリティキーだけでセキュリティが完結しないことを思い出させるものです。
攻撃の手口
Expelの研究者が観測した事例によると、攻撃はクライアント企業の複数の従業員に送信されたフィッシングメールから始まりました。このメールは、ユーザーを偽のOktaサインインページにログインさせようとしました。ユーザーがログインすると、偽のAWSリンクに誘導されますが、これも偽のOktaサインインページと同様にCloudflare経由でホストされています。
さらに、ユーザーがログイン情報を入力すると、QRコードが表示されます。Expelによると、PoisonSeedと呼ばれるフィッシングや暗号通貨窃盗を目的としたグループが、盗んだ認証情報を使って正規のログインポータルにアクセスしました。
フィッシングサイトでユーザー名とパスワードを入力した後、ユーザーにはQRコードが表示され、「FIDOキーのクロスデバイスサインイン機能を利用するよう求められます」。ポータルはユーザー認証のためのQRコードを生成し、このQRコードがそのままユーザーに渡されます。
「通常、ユーザーが別の未登録デバイスから自分のアカウントにサインインしたい場合、他の認証デバイスを登録していれば本人確認が可能です。多くの場合、これはモバイルデバイスにインストールされたMFA認証アプリであり、ほとんどのアプリにはQRコードスキャナーが含まれています」とExpelの研究者Ben Nahorney氏とBrandon Overstreet氏は説明します。「ログインポータルは正しいユーザー名とパスワードを受け取るとQRコードを表示し、ユーザーはMFA認証アプリでこれをスキャンします。」
さらに「このプロセスは一見複雑に見えますが、FIDOキーが付与するあらゆる保護を実質的に回避し、攻撃者に侵害されたユーザーのアカウントへのアクセス、アプリケーションや機密文書、ツールなどへのアクセスを与えます」と続けています。
この攻撃は多要素認証の体験を完全に模倣するため、攻撃者はユーザーを騙して第二のセキュリティ層を渡させることができます。
今回のケースでは、アクティブセッションの作成以外に悪意のある活動は発見されませんでしたが、Expelは攻撃者をクライアント環境から排除するための提案を行いました。しかし、Nahorney氏とOverstreet氏は、攻撃者がフィッシング攻撃中に被害者のパスワードをリセットし、自分のFIDOキーを登録することに成功した別の事例にも言及しています。
この攻撃手法の広がりについて、匿名を希望するExpelの研究者はDark Readingに対し、「PoisonSeedは一度に数社だけを標的にしているが、この手法は容易に拡大可能だ」と述べています。
FIDOについて何を示しているのか?
Nahorney氏とOverstreet氏が述べているように、「FIDOキーに対する、あるいはFIDOキーを利用した攻撃が増加しているものの、アカウント保護において依然として投資価値があることに変わりはありません」。ただし、FIDOキーも他のものと同様に定期的な監査が必要であることを思い出させるものです。
Expelは、認証アプリケーションのログを確認して不審な活動をチェックすることが良い出発点だと述べています。さらに、クロスデバイスサインインには、MFA認証アプリを持つ既存のモバイルデバイスと、ユーザーがログインしようとする未登録デバイス間でBluetooth通信を要求できるセキュリティ機能があります。これだけで、先述の攻撃のほとんどを防ぐことができます。
Dark Readingは、FIDO専用セキュリティキーを販売するYubicoにもこの調査について意見を求めました。これに対し、同社の広報担当者は、Expelの調査は「パスキーの設計上の欠陥やFIDOセキュリティキーの回避を示すものではない」と強調しています。
「これは、QRコードを利用する認証アプリのような、フィッシングされやすいバックアップ認証方法が選択された場合に、その認証が傍受され得る攻撃手法を示しています」と広報担当者は述べています。「Yubicoは、いかなるIDエコシステムにおいても、すべての認証フローを慎重に検討し、アカウントライフサイクルのすべての段階(ブログで議論されているリカバリーフローのような、一般的な攻撃ベクトルも含む)でフィッシング耐性のある認証を使用することを推奨します。」