フィッシングは、対策チームが訓練してきたような雑な偽ログインページ詐欺ではもはやありません。セッションを盗み、多要素認証(MFA)を突破し、アカウント乗っ取りを大規模に自動化するために作られた、洗練され商業化された産業となっています。
Flareの研究者は最近、サイバー犯罪の地下世界におけるフィッシングキット経済を分析しました。
「この調査に取り組む中で、はっきりと気づいたことがあります。勝算は最初から本当の意味で私たちにあったわけではありません。攻撃者は常に人間の心理を悪用してきました。テクノロジーがソーシャルエンジニアリングを生み出したのではなく、それをスケールさせたのです」と、Flareのサイバーセキュリティ研究者Assaf Morag氏はeSecurityPlanetへのメールで述べました。
さらに同氏は、「自動化、洗練されたUI/UXパターン、そしていまやAIによって、操作は効率的で工業的なプロセスへと変わりました」と付け加えました。
Assaf氏は次のように説明しています。「一方で人間は変わっていません。だからこそ、フィッシングとソーシャルエンジニアリングはシステム的リスクとして扱い、人間の脆弱性を所与のものとして受け入れる教育とセキュリティ設計によって対処する必要があるのです。」
Phishing-as-a-Service(PhaaS)経済の内側
Flareは、フィッシングキットおよびリアルタイムのフィッシング活動に関連する、メッセージングプラットフォーム、オープンソース、ディープウェブのフォーラム、ダークウェブ空間にわたる8,627件の投稿を分析しました。
このデータセットは、フィッシングキットが正規のSaaSのように運用されていることを示しています。パッケージ化されたツール、ドキュメント、アップデート、カスタマーサポート、そしてフィッシング・アズ・ア・サービス(PhaaS)によるサブスクリプション型アクセスです。
ゼロから構築する代わりに、運用者はキットをアップロードし、基本的な流出(exfiltration)オプションを設定して、キャンペーンを開始できます。多くの場合、ボットフィルタリング、動的ブランディング、Telegramベースのデータ窃取、被害者ダッシュボードといった機能も備えています。
市場は、攻撃者中間者(AiTM)およびリバースプロキシのプラットフォームへとシフトしており、EvilProxyやTycoon2FAのような広く議論されているキットも含まれます。これらは、単に認証情報を盗むのではなく、認証済みセッションを盗むよう設計されています。
これは、「パスワードが漏れてもMFAが被害を止めてくれる」という防御側の前提を崩すため、重要です。
リバースプロキシ型フィッシングの仕組み
大まかに言えば、リバースプロキシ型フィッシングは、攻撃者がユーザーと本物のログインサービスの間に入り込む手法です。
被害者は通常どおりログインしていると思い込みますが、プロキシが正規サイトへトラフィックを中継しつつ、認証の痕跡(アーティファクト)—多くの場合、セッションクッキーやトークン—を密かに取得します。これらはリプレイされ、アカウント乗っ取りに利用されます。
つまり、ユーザーが認証に成功しても、MFAを回避するために必要なものを攻撃者へすべて渡してしまい得るのです。
レポートはまた、「コンボキット」によってスケールが実現されている点も強調しています。これは、1回の展開で多数のサービスになりすますマルチブランドのフィッシングパネルです。
Flareの分析では、43.83%のエントリがマルチターゲットの誘導(ルアー)に言及しており、攻撃者がブランドや被害者導線を素早く切り替えられるパネルと整合します。
これらのキットは詐欺ツールキットのように機能します。1つのパッケージで、多数の標的、多数の収益化手段を提供します。
標的選定のパターンは、この経済性を裏付けています。
データセット内の単一標的キャンペーンは、暗号資産とMicrosoft/O365を強く優先しており、迅速な換金と反復可能な企業アクセスに合致します。
一方、マルチターゲットのキットは、銀行、Eコマース、PayPalに集中しており、消費者向けの大規模収益化における信頼性の高い「詐欺の三種の神器」となっています。
AiTMフィッシングへの防御
フィッシング攻撃がセッションハイジャックやトークン窃取へと進化する中、組織には基本的なMFAや従来型のメールフィルタリングを超える防御が必要です。
現代のアイデンティティベースの脅威—特にAI支援や攻撃者中間者(AiTM)手法—は、古い制御を回避し、数分でアカウントを侵害し得ます。
- FIDO2セキュリティキーまたはパスキーを優先し、高リスクユーザーや重要システムではOTPベースのMFAよりもフィッシング耐性のある認証を採用する。
- デバイス信頼要件、短いセッション有効期間、リスクベースのステップアップ認証により条件付きアクセスを強化し、トークンのリプレイや不正アクセスを抑制する。
- AiTMフィッシングとセッションハイジャックの検知を拡充するため、異常なログインフロー、不審なホスティング基盤、トークン再利用の兆候や不自然なセッション挙動を監視する。
- DMARC/SPF/DKIMの強制、クリック時URL検査の活用、QRコードや添付ファイル型のフィッシングペイロードのフィルタリングにより、メールおよびWebの制御を強化する。
- OAuthアプリの同意を制限し、高リスク権限には管理者承認を必須化し、不審なトークン付与や新しいサードパーティアプリを監視することで、アカウント乗っ取りの持続性を低減する。
- インシデント対応アクション(トークン失効、強制再認証、認証情報リセット、メールボックスのルールや転送設定のクリーンアップなど)を自動化し、侵害の封じ込めを迅速化する。
- 最小権限、特権アクセスの分離、機微なSaaS・管理者ポータル・金融システムのより厳格なセグメンテーションにより、被害範囲(blast radius)を制限する。
これらの手順を組み合わせることで、侵害の封じ込めに役立ち、重要システム全体にわたる被害範囲を縮小できます。
MFA回避が新たな常態
フィッシングは、MFA回避がビジネスモデルに組み込まれつつあるサービス経済へと成熟しており、この現実は防御側に、アイデンティティセキュリティに関する長年の前提を見直すことを迫っています。
攻撃者がパスワードだけでなくセッションを盗めるようになると、侵害の防止はより難しくなります—しかし、影響の限定はさらに重要になります。
フィッシング耐性のある認証、より厳格な条件付きアクセス、自動化された封じ込めを採用する組織は、1つの乗っ取られたセッションが全社的な侵害へ発展するのを防ぐ助けになります。
アイデンティティベースの脅威をさらに封じ込めるため、多くの組織はいま、すべてのアクセス要求を検証し、暗黙の信頼を最小化するゼロトラストソリューションを採用しています。
