VoidProxy フィッシング・アズ・ア・サービスの運用がMicrosoftやGoogleのログイン認証情報を盗む

アイデンティティおよびアクセス管理プロバイダーのOktaは、被害者が感染したメールに騙されると、サードパーティのシングルサインオンプロバイダーによるユーザーアカウント保護を回避し、MicrosoftやGoogleのログイン認証情報を盗む可能性がある新しいフィッシング・アズ・ア・サービス（PhaaS）運用を発見したと発表しました。

しかし、それは大きな「もし」です。

ユーザーに不審なメールに注意するよう警告する効果的なセキュリティ意識向上トレーニングは、このサービスを利用する脅威アクターの努力を鈍らせるのに役立ちます。専門家たちはまた、認証情報の窃取を狙ったフィッシング攻撃を防ぐには、フィッシング耐性のある認証が不可欠だと語っています。

しかし、この発見は、Okta、OneLogin、AuthO、Microsoft Azure AD、Googleなどのサードパーティ製シングルサインオンプロバイダーをログイン保護に利用しているCSOにとって重要な意味を持ちます。

犯罪的なフィッシングサービスであるVoidProxyは、「従来のメールセキュリティや認証制御に対して成熟し、拡張性があり、回避的な脅威をもたらす」と、Oktaは木曜日のレポートで述べています。

「このサービスは、Adversary-in-the-Middle（AitM）技術を用いて、リアルタイムで認証フローを傍受し、認証情報、MFAコード、サインイン時に確立されたセッショントークンを取得します。この機能により、SMSコードや認証アプリのワンタイムパスワード（OTP）など、一般的な多要素認証（MFA）手法の保護を回避できます」と研究者は記しています。

「この高度なPhaaSを提供することで、VoidProxyは幅広い脅威アクターがAitMフィッシング攻撃を実行するための技術的障壁を下げています。PhaaSプラットフォームで侵害されたアカウントは、ビジネスメール詐欺（BEC）、金融詐欺、データ流出、被害者ネットワーク内での横移動など、さまざまな悪意ある活動を促進します。」

サービスには解析回避機能がある

VoidProxyプラットフォームは、複数の解析回避機能（侵害されたメールアカウント、複数のリダイレクト、Cloudflare Captchaチャレンジ、Cloudflare Workers、動的DNSサービスなど）を使用することで、これまで解析を回避してきたとOktaは述べています。

攻撃の流れは次の通りです。フィッシングの誘導メールは、Constant Contact、Active Campaign（Postmarkapp）、NotifyVisitorsなどの正規メールサービスプロバイダー（ESP）の侵害されたアカウントから送信されます。これにより、スパムフィルターを欺くことを狙っています。

被害者がメッセージに騙されると、URL短縮サービス（TinyURLなど）を利用したリンクをクリックし、複数回リダイレクトされた後、最初のランディングサイトに到達します。リダイレクトの目的は、自動解析を回避することです。

最初のランディングサイトが読み込まれる前に、ユーザーにはCloudflare Captchaチャレンジが表示され、リクエストがインタラクティブなユーザーかボットかを判定します。

最初のフィッシングページは、.icu、.sbs、.cfd、.xyz、.top、.homeなど、低コスト・低評価のTLDで登録されたドメインにホストされています。レポートによると、これによりVoidProxyの運用コストが最小化され、攻撃者はドメインを使い捨て資産として扱い、特定・ブロックリスト化されたらすぐに放棄できます。フィッシングサイトはCloudflareの背後に配置されており、フィッシングサイトのサーバーの実際のIPアドレスを効果的に隠し、セキュリティチームが悪意あるホストを追跡・排除するのを非常に困難にしています。

被害者ユーザーのブラウザは、その後Cloudflare Worker（*.workers.dev）と通信します。Oktaは、このワーカーがゲートキーパーおよび誘導ページローダーとして機能し、受信トラフィックをフィルタリングし、ターゲットごとに適切なフィッシングページを読み込むと考えています。

Captchaチャレンジを通過すると、ユーザーは正規のMicrosoftまたはGoogleのログインポータルの完璧なレプリカを目にします。

自動スキャナーや他のセキュリティツールを使ってサイトにアクセスしようとすると、ユーザーは汎用的な「Welcome」ページにリダイレクトされ、それ以上の機能はありません。

認証情報はAdversary-in-the-Middleサーバーへ送信される

被害者がフィッシングページにMicrosoftやGoogleの主要認証情報を入力してしまうと、そのデータはVoidProxyのコアAitMプロキシサーバーに送信されます。ここでVoidProxyの高度で多層的な仕組みが発揮されるとOktaは述べています。

フェデレーテッドユーザーは、MicrosoftやGoogleアカウントの主要認証情報を入力後、追加の第2段階ランディングページにリダイレクトされます。非フェデレーテッドユーザーは、プロキシインフラ経由で直接MicrosoftやGoogleのサーバーにリダイレクトされます。

エフェメラルなインフラ上にホストされたコアプロキシサーバーがAitM攻撃を実行します。このサーバーはリバースプロキシとして機能し、ユーザー名、パスワード、MFA応答などの情報を正規サービス（Microsoft、Google、Oktaなど）に中継・取得します。正規サービスが認証を検証しセッションクッキーを発行すると、VoidProxyプロキシサーバーがそれを傍受します。クッキーのコピーは流出させられ、攻撃者の管理パネルから利用可能となります。攻撃者は有効なセッションクッキーを手に入れ、被害者のアカウントにアクセスできるようになります。

SMSとOTPのリスクを示す

「このレポートは、SMSやワンタイムパスワード（OTP）コードなどの古い多要素認証タイプと、セッショントークンの窃取が組み合わさった場合のリスクを浮き彫りにしています」と、カナダのセキュリティ意識向上トレーニングプロバイダーBeauceron SecurityのDavid Shipley氏はコメントしています。「ここでのポイントは、アプリベースの2FAのような高度な手法が利用できない場合に、組織ユーザーが代替手段を持てるようにすることです。」

もう一つのポイントとして、MFAへの移行をより簡単かつ便利にすることも挙げました。「全員がセッショントークンの有効期間や再認証について再検討し、オンプレミスなら不要という従来の考えを見直す必要があります」と述べています。

「このレポートは、Cloudflareが犯罪者によるセキュリティツールからの隠れ蓑として使われているという興味深い役割を浮き彫りにしています」とも指摘。「この傾向が続けば、金融サービス業界で見られるような顧客確認（KYC）ルールの導入を、こうしたプロバイダーに求める圧力が高まるかもしれません。」

セキュリティ意識向上トレーニングは、この攻撃を最初から抑止できるのでしょうか？SANS InstituteのJohannes Ullrich研究部長は懐疑的です。「セキュリティ意識向上トレーニングは、繰り返し効果がないことが証明されています」と述べています。

一方、Shipley氏はより楽観的です。「効果的なセキュリティ意識向上プログラムはリスクの上流を減らすことはできますが、完全には排除できません。我々の調査では、トレーニング直後でも誰かがフィッシングをクリックする確率は3.5%です。90日後には15%、360日後にはなんと95%にまで跳ね上がります。ですから、年1回の意識向上トレーニングだけでは不十分です。」

両者とも、フィッシング耐性のある防御策の重要性には同意しています。

「フィッシング耐性は認証の基本要件であるべきです」とUllrich氏は述べています。

「現代のフィッシング攻撃と防御についてCSOが知っておくべきことは2つあります」と続けます。「まず、認証方式はフィッシング耐性がなければなりません。特定のサイトに入力する認証情報をユーザーが選択できる方式は、フィッシング耐性がありません。Passkeysのように、認証情報が自動的にウェブサイトにマッチする方式はフィッシング耐性があり、導入すべきです。パスワードマネージャーによる認証情報の自動選択も一定の保護を提供しますが、ユーザーがその保護を上書きすることも可能です。

「次に、実際の『中間者攻撃』や、ブラウザプラグインのような『ブラウザ内中間者攻撃』に対して安全な認証方式はありません。この場合、攻撃者は認証後のセッションクレデンシャルを取得でき、認証方式自体は無意味です。」

GoogleはDevice Bound Session Credentialsを提案していますが、Ullrich氏によると、まだ広く採用されていません。DBSCは、セッションを特定のデバイスに紐付けるために、マザーボードのTrusted Platform Moduleなどのハードウェアによるセキュリティ層を追加します。セッションは短命なクッキーを使用し、クッキーが期限切れになると、ブラウザが秘密鍵の所有を証明してから更新します。このプロセスにより、セッションの継続性が元のデバイスに結び付けられます。

Shipley氏はまた、「『フィッシング耐性』という誤解を招く用語はそろそろ廃止すべきだ」と述べています。「そうではありません。手抜きの犯罪者による単純なフィッシングは抑止できるかもしれませんが、このような高度なプラットフォームや他のものは、リアルタイムでMFAコードをライブ取得する機能を備えており（AIエージェントの登場で、さらに迅速に対応可能になります）。」

「ベンダーはフィッシング耐性認証を過剰に宣伝し、ユーザーに謝罪すべきです」とも付け加えています。「より正確なブランディングは『手抜きフィッシング耐性』ですが、マーケティング的には響きがよくありません。」

推奨事項

Oktaはレポートの中で、CSOに以下を推奨しています：

• パスキー、セキュリティキー、スマートカードなどの強力な認証器にユーザーを登録し、ポリシーでフィッシング耐性を強制すること；
• エンドポイント管理ツールで管理され、エンドポイントセキュリティツールで保護されたデバイスにのみ、機密性の高いアプリケーションへのアクセスを制限すること。機密性の低いアプリケーションへのアクセスには、基本的なサイバーセキュリティ衛生状態を示す登録済みデバイスを要求すること；
• あまり使われていないネットワークからのリクエストは拒否するか、より高い保証を要求すること；
• ユーザーの活動パターンから逸脱したアプリケーションへのアクセスリクエストを、行動またはリスク監視ソリューションで特定すること。ポリシーでリクエストのステップアップや拒否を設定できる；
• ユーザーに、不審なメールやフィッシングサイト、攻撃者が使う一般的なソーシャルエンジニアリング手法の兆候を識別するトレーニングを行うこと；
• 不審なインフラとのユーザーのやり取りにリアルタイムで対応し、修復フローを自動化すること；
• すべての管理アプリにIPセッションバインディングを適用し、盗まれた管理セッションのリプレイを防ぐこと；
• 管理ユーザーが機密操作を行おうとするたびに再認証を強制すること。