FIDOが突破される

ymgerman | shutterstock.com

FIDO標準は一般的に安全かつユーザーフレンドリーとされています。パスワードレス認証に利用され、フィッシング対策として有効な手段と考えられています。しかし、セキュリティベンダーProofpointのリサーチチームは、FIDOベースの認証を突破する新たな方法を発見しました。彼らはMicrosoft Entra IDを例に、ダウングレード攻撃技術を開発し、実証しました。

FIDOダウングレード攻撃の仕組み

通常、FIDOパスキーで保護されたアカウントはフィッシング攻撃に強いとされています。しかしProofpointによると、特定のFIDO実装はダウングレード攻撃に対して脆弱です。この攻撃手法では、ユーザーに対してより安全性の低い認証方法を使わせるよう仕向けます。

研究者たちが着目したのは、すべてのWebブラウザがFIDOパスキーをサポートしているわけではないという事実です。例えば、Windows上のSafariなどです。Proofpointによれば、この機能的なギャップを攻撃者が悪用できます。「サイバー犯罪者は、FIDO実装が認識しない非対応のユーザーエージェントを偽装するようにAdversary-in-the-Middle（AiTM）攻撃を調整できます。その結果、ユーザーはより安全性の低い認証方法を使わざるを得なくなります」と、Proofpointはプレスリリースで述べています。

Proofpointの専門家たちは、実際にどのように悪用できるかを示すため、AiTMフレームワークEvilginx用のフィッシュレットを開発しました。これは、フィッシングキットで使用される設定ファイルで、ウェブサイトを偽装し、ログイン情報やセッショントークンを盗み取るためのものです。Proofpointによると、FIDO認証付きのユーザーアカウントは通常、代替の認証方法（多くの場合は多要素認証（MFA））をフォールバック手段として利用しているため、この攻撃シーケンスが可能になるといいます。

セキュリティ専門家によると、攻撃の流れは以下の通りです：

• フィッシングリンクがターゲットに送信されます（例：メール、SMS、OAuthリクエストなど）。
• 悪意のあるリンクをクリックすると、認証エラーが表示され、代替のログイン方法が提案されます。
• 被害者がこれに従い、偽のインターフェースでログインすると、ログイン情報やセッションクッキーが盗まれます。
• これにより攻撃者はセッションを乗っ取り、ターゲットのアカウントを掌握できます。これによってデータの持ち出しや、被害環境内での横展開が容易になります。

Proofpointによれば、現時点ではこの攻撃手法が実際にサイバー犯罪者によって利用された証拠はありませんが、ダウングレード攻撃は重大な新たな脅威と評価しています。専門家は警告します。「今後、より多くの組織が『フィッシング耐性』のある認証方法としてFIDOを導入するにつれ、攻撃者はFIDO認証のダウングレードを攻撃チェーンに組み込む可能性があります。」（fm）

ITセキュリティに関する他の興味深い記事も読みたいですか？当社の無料ニュースレターは、セキュリティ担当者や専門家が知っておくべき情報をすべて、あなたの受信箱に直接お届けします。