ソーシャルエンジニアリングによる攻撃は高度な変貌を遂げつつあり、攻撃者は電話での指示と、被害者のウェブセッションをリアルタイムで操作できる動的なフィッシング・キットを融合させています。Okta Threat Intelligenceの暴露記事によれば、こうした新興の「Phishing-as-a-Service(サービスとしてのフィッシング)」ツールは、Google、Microsoft、Okta、およびさまざまな暗号資産エコシステムの利用者に対して攻撃的に展開されています。
これらのソリューションの特徴は、会話のリズムに合わせて流動的に適応する点にあります。ある実行犯が口頭で被害者を言いくるめる一方で、第二の工作員が密かに被害者のブラウザ内容を操ります。音声による指示と視覚的な手がかりの同期した演出は、特に多要素認証(MFA)の重要局面において、正当性の錯覚を大幅に強化します。
これらのキットは、公式ポータルを完璧に模したインターフェースを表示しつつ、同時に認証情報を流出させるよう設計されています。攻撃者が本物のリソースへ同時にアクセスを試みている実際の認証状態を反映するよう、フィッシングサイトを即座に再調整することで、この芝居は無警戒なユーザーにとって不気味なほどもっともらしくなります。
戦術的な手順は、標的の業務アプリケーションとサポート手順を特定するための綿密な偵察から始まります。続いて攻撃者は特注のフィッシングページを構成し、偽装した企業の身元を用いて電話をかけます。被害者はその後、詐欺サイトへ誘導され、一次認証情報を差し出すよう強要されます。
このテレメトリは即座に秘匿チャネルへ中継され、第二の工作員がそれを利用します。発生したMFAチャレンジの種類に応じて、フィッシング用インターフェースは外科手術のような精度で更新され、ユーザーにプッシュ通知の承認や二次コードの入力を促します。こうした欺瞞的な相乗効果により、この策略は驚くほど説得力を持ちます。
専門家は、プッシュ通知の番号一致のような強固なMFA方式でさえ万全ではないと強調します。攻撃者が被害者に必要な数字を選ぶよう指示するだけでよいからです。対照的に、Okta FastPassやFIDO2セキュリティキーのようなハードウェアに紐づくソリューションは、これらの手口に対して堅牢性を保ちます。汎用性の高いものではなく特定サービス向けにフィッシングパネルを設計する「超特化」への潮流も強まっています。さらに、音声による欺瞞のコモディティ化は頂点に達しており、プロの「オペレーター」へのアクセスが闇市場で購入可能になっています。
防御を強化するため、組織にはフィッシング耐性のある認証プロトコルへの移行が促されています。Okta環境では、多層的なセキュリティレイヤーの展開に加え、ネットワーク状況を考慮したアクセス・ポリシーの実装や、既知の匿名化手段の除外が推奨されます。一部の金融機関は、モバイルアプリ内に「通話検証」機能を先駆けて導入し、利用者が代表者を名乗る人物の身元をリアルタイムで認証できるようにしています。
Oktaによれば、このパラダイムは急速に進化しており、すでに実際の侵入事案として顕在化しています。同社が2025年4月および2026年1月に公表した勧告では、包括的な技術的フォレンジック指標と、是正のための戦略的提言が提示されています。
翻訳元: https://meterpreter.org/the-browser-puppeteer-new-vishing-kits-hijack-sessions-in-real-time/
