新しいフィッシングフレームワークが多要素認証を回避

janews – Shutterstock.com

最近明らかになったフィッシングキャンペーンは、Salty2FAというフィッシング・アズ・ア・サービス（PhaaS）フレームワークと関連しています。これは多要素認証（MFA）を回避するために開発されたとされています。

サイバーセキュリティ企業Ontinueの調査によると、

• 認証手段を傍受し、
• サブドメインをローテーションし、
• Cloudflare Turnstileのような信頼できるプラットフォーム内に偽装します。

米国姉妹誌CSOで専門家は、このキャンペーンが「顕著な技術革新」を用いていると説明しました。その中には、これまでこのキットで観測されていなかった回避戦術も含まれています。

フィッシングのプロ化

セキュリティベンダーZimperiumのシニアセールスエンジニア、ブライアン・ソーントン氏は、Salty2FAはフィッシングがいかにプロフェッショナル化したかを示す例だと述べています。これには高度な回避戦術や説得力のあるMFAシミュレーションが含まれます。信頼できるプラットフォームを悪用し、企業ポータルを模倣することで、ハッカーは「本物と詐欺的なトラフィックの境界線を曖昧にしている」と同氏は指摘します。

Salty2FAは2025年半ばに初めて観測されましたが、すでに世界中のMicrosoft 365ユーザーを標的とした複数のキャンペーンが行われています。

新たなフィッシングの形態

今回明らかになったキャンペーンでは、犯罪者は多段階のインフラを構築しました。これは新たに登録された「aha[.]io」アカウント上にホストされた悪意あるリダイレクトから始まります。被害者はCloudflare Turnstileゲートを経由し、自動分析を排除された後、最終的な認証情報収集ページに誘導されます。

そこでSalty2FAは、SMS、認証アプリ、プッシュ通知、さらにはハードウェアトークンなど、複数のMFAプロセスをシミュレートしました。このフレームワークは、被害者のメールドメインに基づく動的な企業ブランディングを適用し、フィッシングポータルを本物らしく見せます。

Ontinueによると、このPhaaSキットはドメインペアリング、難読化、ジオブロッキング、Cloudflare Turnstileの操作を用いて、極めて本物そっくりなポータルを作成します。

さらに、このキャンペーンはサブドメインローテーションとジオブロッキングを利用して発見を回避します。各被害者にはユニークなサブドメインが割り当てられ、ドメインブラックリストを回避します。同時に、セキュリティやクラウドベンダーからのトラフィックはブロックされ、本物のユーザーだけがフィッシングサイトに到達できるようになっています。

Keeper SecurityのCISO、シェーン・バーニー氏は、これを「フィッシング2.0の到来」と表現しました。この種の攻撃は、企業がかつて信頼していたセキュリティ対策を狙って回避するよう設計されています。

従来の手法は通用しない

Salty2FAに対抗するには、パスワードや従来のコントロールだけでは不十分だと業界専門家は一致しています。Keeper SecurityのCEO、ダレン・グッチオーネ氏は、パスキーやパスワードレス認証を戦略の一部とするべきだと主張します。これらの技術は既存のセキュリティ対策を補完し、依然としてフィッシングの主な標的である従来のパスワードへの依存を減らします。

静的からサンドボックスへ

Ontinueの研究者は、Salty2FAが容易に回避できる静的な検証から、疑わしいドメインのサンドボックス化や実行時検査への移行を勧めています。また、ユーザーの意識向上も依然として重要だと強調します。フィッシングポータルは正規サイトを非常に精巧に模倣するため、技術的なコントロールだけでは確実に防げない場合があると述べています。

バーニー氏はさらに、防御側はドメインの異常や不審なJavaScriptの実行、その他の微妙な行動の兆候に注意を払うべきだと補足します。また、FIDO2やWebAuthnトークンによるパスワードレス認証のような手法は、盗まれたコードを無効化できると指摘します。

特権アクセス管理、ゼロトラストフレームワーク、継続的なトレーニングが、ID窃盗の影響を抑えるために推奨されます。「企業も同様に適応力を持ち、行動認識、実行時の透明性、フィッシング耐性のある認証を組み合わせる必要がある」とバーニー氏は付け加えました。これにより、新世代の脅威に対応できると同氏は考えています。（tf/jd）