フィッシング手法の変化を理解する
最近の調査により、音声コミュニケーション(しばしば「ビッシング」と呼ばれる)を利用するフィッシング戦術の新たな傾向が明らかになりました。これは、犯罪者が偽のログインページを作成し、それをリアルタイムの電話会話と同期させることを可能にする高度なフィッシングツールキットの使用を伴います。この手法は、多要素認証(MFA)システムを弱体化させ、攻撃者が機密性の高いアカウントへ不正アクセスしやすくするため、特に危険です。
ビッシング攻撃の仕組み
誤解を招くメールに大きく依存する従来のフィッシング手法とは異なり、これらの現代的な攻撃は人間のやり取りとテクノロジーを融合させています。標的は、Google、Microsoft、Oktaといった主要なIDプロバイダーに加え、人気の暗号資産プラットフォームです。このハイブリッド型攻撃モデルが特に効果的なのは、個々の被害者のセキュリティ設定に合わせてリアルタイムに適応できる点にあります。
Okta Threat Intelligenceの脅威リサーチャーであるムーサ・ディアロ氏は、これらのツールが音声ベースのソーシャルエンジニアリング攻撃の頻度を高めるうえで有効であると指摘しています。被害者のブラウザ上の動きと攻撃者の操作を同期させることで、フィッシング耐性が組み込まれていない多くのMFAを出し抜くことが可能になります。
攻撃者が計画を実行する方法
この作戦は通常、偵察から始まります。攻撃者は、従業員の氏名、よく使われるアプリケーション、ITサポートの電話番号などの情報を収集します。これらのデータを用いて、カスタマイズしたフィッシングページを展開し、組織の正規サポート番号を偽装しながら電話をかけます。
通話中、攻撃者はITセキュリティ手順の実施やアカウント確認の必要性を装い、被害者にフィッシングサイトへアクセスするよう説得します。被害者が認証情報を入力すると、攻撃者はTelegramのようなセキュアなメッセージングプラットフォームを通じて、その機密情報へ即座にアクセスできます。同時に、攻撃者は実際のログインページにその認証情報を入力し、どのMFAチャレンジが発生するかを監視します。
最大の効果を狙うリアルタイム操作
これらのフィッシングツールキットの能力が特に懸念されるのは、リアルタイム操作機能にあります。Oktaの研究者は、攻撃者が通話中にフィッシングサイトを改変し、被害者が聞かされている内容と完全に一致するページを提示できることを突き止めました。正規サービスがプッシュ通知を送信した場合、攻撃者は被害者にそれを予期させつつ、同時に正当なものに見えるよう話の筋書きをコントロールできます。
この同期により、攻撃者は前例のない力を得ます。ツールキットには、被害者が見ている内容を正確に表示するコマンド&コントロール用パネルが備わっており、プッシュ通知やワンタイムコードなど、認証シナリオを容易に調整できるようになっています。
従来型セキュリティ対策の限界
番号照合付きのプッシュ通知のような高度なセキュリティ対策でさえ、こうした巧妙なフィッシングの餌食になり得ます。攻撃者は、プッシュチャレンジに表示された番号を被害者に選択・入力させるよう容易に誘導でき、結果としてそれらのセキュリティ機能を無力化します。Oktaの報告によれば、特に犯人が電話口にいる状況では、こうした対策は本質的にフィッシング耐性があるわけではありません。
フィッシング耐性のある解決策の必要性
専門家は、FIDOパスキーのようなフィッシング耐性のある認証方式だけが、これらの種類の攻撃からユーザーを効果的に保護できると強調しています。これらの技術は、攻撃者が傍受できる認証情報を送信することなく、暗号学的にユーザーを検証することで機能します。
ディアロ氏は、オーケストレーションツールによって強化された音声対応フィッシング攻撃の台頭は、まだ始まったばかりだと警告しています。これらのソーシャルエンジニアリング手法がサービスとして容易に入手できることは追加のリスクをもたらし、技術スキルが限られた者であっても攻撃を実行できるようにします。
進化する戦術:特化型フィッシングキット
最近の動向では、新しいフィッシングキットが、異なるIDプロバイダーや暗号資産プラットフォーム向けに特化したリアルタイムのオーケストレーション機能を統合するようになっています。この進化は、汎用的なキットから、特定の状況に適応できるより高度で標的型のツールキットへの移行を反映しており、正規の認証手法を緊密に模倣したシームレスな体験を作り出します。
組織は現在、これらの脅威に対抗する明確な責務に直面しています。フィッシング耐性のある認証方式を導入し、既知の悪意あるサービスからの認証要求をアクセス制御で防ぐことは重要な対策です。さらに、一部の銀行や暗号資産取引所では、通話中に顧客がモバイルアプリへサインインして、話している担当者の身元を確認できるライブの発信者検証戦略を試験しています。
脅威環境への対処
これらの同期型ビッシングツールキットの出現は、欺瞞的な手口が高度な技術システムと融合するという、ソーシャルエンジニアリングの進化を示しています。フィッシング耐性のある戦略を取り入れず、従来型のMFAアプローチに依存し続ける組織は、こうしたハイブリッド脅威に対してますます脆弱になる可能性があります。進化するフィッシング戦術の微妙な点を理解することは、データと運用を守ろうとするあらゆるセキュリティ重視の組織にとって不可欠です。
