怖いニュース:ハッカーはもはやあなたのMFAを「破壊」していません—彼らはただあなたのログイン時に随行して、セッショントークンをあなたの目の前から盗もうとしているのです。
多要素認証は解決策になるはずでした。長年にわたり、セキュリティチームは従業員にMFAが彼らを安全に保つと言ってきました。パスワードが盗まれたのですか?問題ありません—攻撃者はまだその第2要素が必要です。
しかし、中間者(AiTM)フィッシング攻撃がすべてを変えました。これらの攻撃はパスワードとMFAコードを別々に盗もうとしません。ユーザーがログインしていることを証明するセッショントークンを含む、認証フロー全体をリアルタイムでキャプチャします。従業員はすべてを正しく行います—HTTPSをチェックし、MFAプロンプトを確認し、疑わしい添付ファイルを避けます—それでも侵害されます。
これはすべてのセキュリティリーダーを懸念させるべきです。もし私たちの訓練、MFA、セキュリティ認識プログラムが、本気で注意を払おうとしている人を保護できないのであれば、ユーザーにMFAが彼らを安全に保つと言うときに、正確に何を約束しているのですか?
これがあなたが訓練したフィッシングではない理由
従来のフィッシングは、誤字と疑わしいURLを含む不格好な偽のログインページを意味していました。これらのページは、実際の認証サービスに接続されていなかったため、MFAを処理できませんでした。
ここで変わったことがあります。より多くのセキュリティリーダーがこれを理解していればと思いますが:現代的なフィッシングページは偽物ではありません。それらはプロキシです。
Evilginxのようなツールはユーザーと正当なサービス—Microsoft、Google、Okta、その他—の間に座り、すべてをリアルタイムで中継します。従業員はパスワードを入力します。それはMicrosoftに送信されます。Microsoftはまずはじめ。チャレンジを送信します。プロキシを通じて従業員の電話に戻ります。従業員がそれを承認します。セッションクッキー—認証を証明するその黄金のトークン—はプロキシを通じて直接攻撃者の手に戻ります。
従業員は成功したログインを見て、仕事を続けます。攻撃者はその同じセッションクッキーを取得し、完全に異なるマシンでブラウザを開き、彼らは内部に入ります。パスワードは不要です。MFAプロンプトはありません。ただ、他の誰かに属する、クリーンな認証されたセッションです。
最も私を悩ませるのは、それがどれほど静かであるかです。ログイン失敗はありません。MFA疲労爆弾はありません。ブルートフォース警告はありません。技術的には、すべてが正常だったため、すべてが正常に見えます。認証は本物でした。攻撃者はそれが起こるのを見守っていただけです。
そして、これはもはや国家レベルの手法ではありません。Phishing-as-a-Serviceプラットフォーム—Tycoon 2FA、Sneaky2FA、FlowerStorm—これを商品に変えました。Barracudaのフロントラインセキュリティ予測によると、2026年末までに認証情報侵害攻撃の90%以上が高度なフィッシングキットを含むと予想されています。別のBarracuda脅威レポートによると、2025年の大量フィッシングキャンペーンの90%がPhaaS キットに依存していたとのことで、既知のキット数は年間で倍増しました。この攻撃を実行するには、リバースプロキシを理解する必要はありません。クレジットカードとサブスクリプションが必要です。
繰り返し現れる3つの失敗
中間者攻撃に関する私の研究と業界インシデントレポートのレビューを通じて、これらの攻撃を成功させる3つの一貫した失敗を特定しました。
1. 私たちは間違った脅威のために人々を訓練しました
ほとんどのセキュリティ認識プログラムはまだ同じことを教えています:誤字を探す、送信者アドレスを確認する、リンクの上にマウスを移動します。そのアドバイスは2015年のフィッシング用に構築されました。中間者攻撃では、ページが本物であるため誤字はありません—実際のサービスからプロキシされています。プロキシが独自の正当な認証情報を取得するため、SSLセキュリティ証明書は有効です。ログインフローは正確に予想通りに動作します。これは本物のログインフローであり、単に中間の誰かに観察されているだけです。
セキュリティ研究者はこれを広く調査しています。テストテナントに対してEvilginxプロキシを設定し、フィッシングリンクをセキュリティ専門家—フィッシングの見方を知っている人々—に送信することで、一貫して相当な数を捕捉しています。文字通りこれらの攻撃を発見することが仕事である人々が違いを区別できない場合、財務またはHRスタッフがそうすることを期待することは現実的ではありません。Push Securityの研究により、フィッシングがオムニチャネル化したことが確認されており、現在ではフィッシング攻撃の約3人に1人がメール以外の方法で完全に配信されており、LinkedInダイレクトメッセージやGoogleサーチなどのチャネルを通じています。
2. セッションクッキーを信頼しすぎています
MFAが完了すると、ほとんどの組織は結果のセッションを神聖に扱います。ユーザーは自分が誰であるかを証明したため、彼らに仕事をさせます。しかし、セッションクッキーはベアラートークンです—それらを保有する誰もが認証されたユーザーです。クッキーとそれを生成したデバイスの間に結合はありません。指紋はありません。アンカーはありません。ロンドンからセッションクッキーを盗んだ攻撃者は、完全に異なる場所からそれを再生できます。Silverforthからの研究により、FIDO2認証が成功した後でも、多くのアイデンティティプロバイダーはセッションハイジャッキングに対して脆弱であることが示されています。認証後に作成されるセッショントークンが適切に保護されていないためです。
3. 認証情報盗難には対応するが、セッション盗難には対応しない
インシデント対応プレイブックは、侵害されたパスワードを中心に構築されています:リセットを強制し、トークンを取り消し、MFAを再登録します。しかし、中間者攻撃では、パスワードは主要な懸念ではありません—セッションです。業界レポートは一貫して、対応チームがパスワードをリセットし、ケースが終わったと考えていることを示していますが、攻撃者は盗まれたセッションで何日も操作を続けています。すべてのアクティブセッションを取り消したり、セッションリプレイを監視したりしていない場合、実際には侵害を修復していません。
実際に機能するもの
不都合な真実は、従来のMFA—プッシュ通知、SMSコード、認証アプリ—が中間者フィッシング攻撃を防ぐことはできないということです。認証は本物の認証であるため成功します。攻撃者は単に結果を観察してコピーします。ここに実際に違いを生じさせるものがあります。
フィッシング耐性認証を展開する
FIDO2セキュリティキーとパスキーは、認証を特定のドメインに暗号的に結合します。ログインリクエストが実際のサービスではなくプロキシドメインから来た場合、キーはチャレンジへの署名を拒否します。Microsoftのパスキーに関するドキュメントによると、パスキーはオリジンバウンド公開鍵暗号を使用し、認証情報が悪意のあるアクターによって再生または共有されないことを保証します。ハードウェアキーのロールアウトは難しい場合があります—予算承認には時間がかかり、ユーザーは訓練が必要です。しかし、どこかで始めてください。財務チーム、IT管理者、経営幹部が最初であるべきです。最も価値のあるアクセス権を持つ人々は、最強の認証が必要です。Proofpointの研究者がサポートされていないブラウザになりすましてMicrosoft Entra IDのFIDOに対するダウングレード攻撃を実証したことは注目に値するため、組織は可能な限りフォールバック認証方法を無効にする必要があります。
セッションをデバイスにバインドする
管理対象で準拠したデバイスを必要とする条件付きアクセスポリシーは、クッキーリプレイが迂回できないハードウェアアンカーを作成します。誰かがセッションクッキーを盗んで、非管理マシンからそれを再生しようとすると、セッションが終了します。これは組織が実装できる最も影響力のある変更の1つです。完全ではありませんが、最も簡単なリプレイベクトルを一夜にして排除します。
ログイン失敗だけでなく、セッション異常を監視する
中間者攻撃はログイン失敗を生成しません。完璧に見える成功したものを生成します。信号は認証後に何が起こるかにあります。認証IPと後続のセッションアクティビティの間の不可能なトラベルを監視してください。ログインの数分以内に新しいMFAデバイスの登録を監視してください。受信トレイルールの作成を監視してください。Barracudaの脅威分析は、攻撃者がリレー攻撃を介してMFAコードの盗難を増加させ、MFA回復フローをターゲットにしていることを強調しており、認証後の監視をかつてないほど重要にしています。これらは攻撃者が一貫して実行する侵害後のアクションであり、これらのパターンの周りに検出ルールを構築すると、従来の監視が完全に見落とす試みをキャッチします。
セキュリティ認識訓練を再構築する
人々にフィッシングページを見つけるように教えるのをやめてください—現代的な攻撃に対しては不可能です。Push Securityの分析は、今日のフィッシング攻撃の大多数がリアルタイムでMFAのほとんどの形式をバイパスすることができるリバースプロキシを使用していること、そして古いスタイルのURLブロックアプローチは防御者を攻撃者の2ステップ後ろに置くことを指摘しています。代わりに、従業員に1つの単純なルールを教えてください:URLを直接入力して自分自身でログインを開始しなかった場合、それを信頼しないでください。メール内のログインリンクをクリックしないでください。それらは正当に見えますが。サービスに直接移動してください。ログインページをブックマークしてください。そして、人々に、理由を説明できなくても、間違っていると感じるものを報告するための単純で摩擦のない方法を提供してください。
不都合な結論
セキュリティ業界は、MFAが答えであることを組織に伝えるのに何年も費やしました。それでした—当時私たちが持っていた脅威のためです。しかし、脅威は進化し、私たちの防御はペースを保っていません。
中間者フィッシング攻撃はMFAを破壊しません。する必要はありません。中間に忍耐強く座り、認証が正確に設計通りに起こるのを見ます。そして結果をコピーします。私たちの最強の防御は失敗しません—それは成功し、攻撃者はとにかく利益を得ます。
このシフトを認識してフィッシング耐性認証に移行する組織は保護されます。残りの人々は、正常な月曜日の朝のログインとまったく同じに見える侵害を待っています—それが遅すぎるまで。
私たちは従業員にMFAが彼らを安全に保つと言いました。私たちは彼らに実際に機能する防御を借りています。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加しますか?
