PoisonSeedフィッシングキャンペーンは、WebAuthnのクロスデバイスサインイン機能を悪用し、FIDO2セキュリティキーの保護を回避して、偽の企業ポータルからのログイン認証リクエストをユーザーに承認させる手口です。
PoisonSeedの攻撃者は、金融詐欺を目的とした大規模なフィッシング攻撃を行うことで知られています。過去には、暗号通貨ウォレットのシードフレーズを含むメールを配布し、暗号資産ウォレットを抜き取る手口が確認されています。
最近のフィッシング攻撃では、Expelが観測したように、PoisonSeedの攻撃者はFIDO2のセキュリティの脆弱性を突くのではなく、正規のクロスデバイス認証機能を悪用しています。
クロスデバイス認証は、WebAuthnの機能で、ユーザーが別のデバイス上のセキュリティキーや認証アプリを使ってサインインできる仕組みです。セキュリティキーを物理的に接続する代わりに、BluetoothやQRコードのスキャンを通じて認証リクエストがデバイス間で送信されます。
攻撃は、ユーザーをOktaやMicrosoft 365などの企業ログインポータルを装ったフィッシングサイトに誘導することから始まります。
ユーザーがポータルに認証情報を入力すると、攻撃者はAdversary-in-the-Middle(AiTM)バックエンドを使い、リアルタイムで正規のログインポータルにその認証情報で静かにログインします。
攻撃対象のユーザーは通常、FIDO2セキュリティキーを使って多要素認証リクエストを確認します。しかし、フィッシングのバックエンドは代わりに、正規のログインポータルにクロスデバイス認証を使うよう指示します。
これにより、正規のポータルがQRコードを生成し、それがフィッシングページに転送されてユーザーに表示されます。
ユーザーがスマートフォンや認証アプリでこのQRコードをスキャンすると、攻撃者が開始したログイン試行が承認されてしまいます。
出典: Expel
この手法は、ユーザーの物理的なFIDO2キーではなく、クロスデバイス認証に依存したログインフローを攻撃者が開始できるため、FIDO2セキュリティキーの保護を効果的に回避します。
Expelは、この攻撃はFIDO2の実装の脆弱性を突くものではなく、FIDOキー認証プロセスをダウングレードする正規の機能を悪用していると警告しています。
リスクを軽減するために、Expelは以下の対策を推奨しています:
- ユーザーがログインを許可される地理的な場所を制限し、出張者向けの登録プロセスを設ける。
- 知らない場所や一般的でないセキュリティキーブランドからの不明なFIDOキーの登録を定期的に確認する。
- 組織は、クロスデバイス認証の要件としてBluetoothベースの認証を義務付けることを検討でき、これによりリモートフィッシング攻撃の効果を大幅に低減できます。
Expelはまた、別の事例として、攻撃者がフィッシングと考えられる手口でアカウントを侵害し、パスワードをリセットした後、自身のFIDOキーを登録したケースも観測しています。ただし、この攻撃ではQRコードのようなユーザーを騙す手法は必要ありませんでした。
この攻撃は、攻撃者が物理的なセキュリティキーとのやり取りを必要としないログインフローをユーザーに完了させることで、フィッシング耐性認証を回避する新たな手口を模索していることを浮き彫りにしています。
CISOが実際に使うボードレポートデッキ
CISOは、取締役会の賛同を得るには、クラウドセキュリティがどのようにビジネス価値を生み出すかを明確かつ戦略的に示すことが重要だと理解しています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを有意義な対話と迅速な意思決定につなげましょう。