コンテンツにスキップするには Enter キーを押してください

ダウングレード攻撃によりフィッシングキットがFIDOを回避可能に

投稿日 2025年8月15日

「Kung Fu FIDO」と書かれた中華料理のテイクアウト容器

出典:Stephen Barnes US via Alamy Stock Photo

研究者たちは、フィッシングキットがFast Identity Online(FIDO)認証を回避する新しい概念実証(PoC)を開発しました。

FIDOは、オンライン認証のゴールドスタンダードであり、ユーザーが自分のアカウントにログインする際に本人であることを確認するための、最も優れた広く利用可能な方法です。FIDOは、静的なパスワードや多要素認証(MFA)に内在する弱点を回避し、ユーザーが自分自身の物理デバイスに紐づいた認証情報(例えば生体認証やPINコード、あるいは別のハードウェアキー)で認証する仕組みです。裏側では公開鍵・秘密鍵暗号を用い、認証情報がデバイスの外に出ることがないようにしています。

ほぼ完全に堅牢です。しかし、FIDOを突破するのではなく、単に回避できるとしたらどうでしょうか?

昨年、あるセキュリティ研究者が、FIDO準拠のWindows Hello for Business(WHfB)を弱体化させるダウングレード攻撃手法を実証しました。現在、Proofpointの研究者たちは、同じ論理がMicrosoft Entra IDのFIDO認証にも適用できることを示しました。この攻撃は非常に簡単で、攻撃者が商用のフィッシング・アズ・ア・サービス(PhaaS)キットに組み込むことも可能です。

FIDOダウングレード攻撃

FIDOをダウングレードするには、攻撃者はまずターゲットに好きな通信手段でフィッシングリンクを送信します。被害者がリンクをクリックすると、Entra IDのログインページが表示されます。

研究者たちはオープンソース(OSS)のEvilginx adversary-in-the-middle(AitM)フレームワークを使ってこの攻撃を作成したため、ログインページは被害者の本物のログインページそのものです。多くのPhaaSプログラムがログインページを偽装するのとは異なり、Evilginxは「フィッシュレット」と呼ばれるツールを使い、被害者と正規サイトの間のリレーサーバーとして機能します。そして、フィッシュレットは同時に両方の側を操作できます。

フィッシュレットは、被害者のユーザーエージェント文字列(ブラウザやOSを識別する情報)をMicrosoftのサーバーに偽装し、FIDO非対応のブラウザ・OSの組み合わせからのログイン試行であることを示します。Entra IDはエラーメッセージで応答し、ユーザーを別のMFA手段でのログインにリダイレクトします。攻撃者は、被害者の認証情報とMFAトークンを使って有効なセッショントークンを取得し、アカウントへアクセスできるようになります。場合によっては、トークンを被害者と共有して疑念を抱かせないようにすることもあります。

現在までに、ProofpointはこのようなFIDOダウングレード攻撃が実際に観測されたことはないとしています。

FIDO専用化への障壁

組織がユーザーにFIDO準拠のログイン方法のみを許可すれば、ダウングレード攻撃は一夜にして消滅するでしょう。

FIDO専用化は完全に可能であり、セキュリティの観点からは望ましいと、FIDOアライアンス理事でHYPRのCEO兼共同創業者であるBojan Simic氏は述べています。しかし、組織やユーザーにはセキュリティ以外にも優先事項があることも認めています。

「本質的に、Microsoftのようなこのエコシステムの主要プレイヤーにとって最優先事項は、ユーザーが認証できることを確実にすることです。それが必ずしも、あらゆる犠牲を払って認証を守ることが最優先という意味ではありません」とSimic氏は説明します。

組織も通常はFIDO専用化を推進しません。「彼らはたいてい変化をためらいますし、ユーザーが必要なものに常にアクセスできる状態であることを確保したいと考えています」と彼は付け加えます。例えば、「従業員が職場でノートパソコンをドックに接続し、外部モニターにつなげることがあります。しかし、ノートパソコンの蓋が閉じていると顔認証用のカメラが使えません。そのため、パスワードに戻したい場合もあるのです。」

ただし、できない理由はありません。Simic氏は、Coinbaseを認証を正しく行っている企業の好例として挙げています。「そこでは、FIDOパスキーを登録するとMFAをオフにするオプションが与えられます。そしてMFAをオフにすると、SMSでのログインに戻ることはできません。つまり、ユーザーに委ねているのです」と彼は言います。「大手の暗号資産取引所のいくつかはすでにこのステップを踏んでいます。なぜなら、彼らの顧客は多くの銀行顧客が持つような保護を持っていないからです。しかし、残念ながらこれはまだ非常に稀です。」

翻訳元: https://www.darkreading.com/cybersecurity-operations/downgrade-attack-phishing-kits-bypass-fido

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です