PoisonSeedがFIDOキーを欺く

ArtemisDiana – shutterstock.com

FIDOキーはハードウェアベースの多要素認証を使用し、他のMFA方式の脆弱性を補います。しかし、悪名高い暗号ハッカーグループPoisonSeedは、この追加のセキュリティを回避することに成功したようです。Expelの研究者たちは、このグループによるFIDOを新しいソーシャルエンジニアリング戦術で欺く攻撃キャンペーンを発見しました。

「FIDOキーで保護されたアカウントのユーザーがフィッシングサイトでユーザー名とパスワードを入力すると、他のユーザーと同様に認証情報が盗まれます」と、セキュリティ専門家はブログ記事でFIDOの特別な保護について説明しています。「しかし、そのアカウントはFIDOで守られているため、攻撃者は物理的に2段階目の認証にアクセスできません。」

デバイス間の利便性が標的に

しかしPoisonSeedは、多くのIDプラットフォームに存在するあまり知られていない機能、QRコードによるデバイス間ログインを悪用しています。攻撃者は、Oktaや類似サービスを模倣した偽のログインページを使い、パスワード入力後にQRコードを表示します。ユーザーが正規の認証アプリでこのQRコードをスキャンすると、そのセッションは攻撃者のものとして完了してしまいます。

「認証情報は偽のOktaページで取得され、その後デバイス間ログインプロセスが呼び出され、正規のセカンドデバイス用のQRコードが表示されます」とSectigoのシニアフェロー、ジェイソン・ソロコ氏は手口を説明します。「フィッシングサイトはこのコードをユーザーに表示し、ユーザーが認証アプリでスキャンします。これにより、物理キーが一度も動かされていなくてもFIDO認証が完了してしまうのです。」

この手口によって、被害者のキーが安全にポケットに入ったままでも、攻撃者はアクティブなセッションを取得でき、ソーシャルエンジニアリングが依然として弱点であることを証明しています、と彼は付け加えます。

ソロコ氏は、可能であればデバイス間ログインを無効にし、予期しないデバイス登録や異常な場所に注意することを推奨しています。

FIDO自体は突破されていない

Expelの研究者たちは、このキャンペーンを憂慮すべき展開と呼んでいます。なぜならFIDOキーは安全なMFAの革新と見なされているからです。「FIDOキー自体の脆弱性は発見されていませんが、ITやSecOps担当者は注意を払うべきです。この攻撃は、犯罪者がインストール済みのFIDOキーをどのように回避できるかを示しています。」

専門家たちもExpelの懸念に同意しています。「これらの攻撃はFIDOの暗号化を破るものではなく、QRベースのログインなど信頼された代替認証方法を悪用しています」とKeeper SecurityのCEO兼共同創業者、ダレン・グッチオーネ氏は説明します。これにより、ユーザーは意図せず攻撃者が管理する正規のログインセッションを開始してしまうことになります。

FIDOの強みはそのハードウェアベースの保護にあり、依然として非常に強固であると彼は付け加えました。

「企業はこの警告を真剣に受け止め、追加のセキュリティ対策を検討すべきです」とSlashNextのフィールドCTO、J・スティーブン・コウスキー氏は助言します。例として、デバイス間認証時にデバイス同士のBluetooth近接性を要求することを挙げています。同時に、セキュリティソリューションはこうした巧妙なフィッシング攻撃をタイムリーに検知・ブロックできる能力を持つべきです。

どうしてもFIDOでデバイス間ログインを有効にする必要があるユーザーに対しては、Expelはログイン要求が疑わしい場所から発生していないか、未知・予期しない・信頼できないキーの登録がないかを慎重に確認することを推奨しています。（jm）