- VoidProxyはMicrosoft 365とGoogleアカウントを標的とした新しいフィッシング・アズ・ア・サービス(PhaaS)プラットフォームです
- 攻撃は侵害されたメールアドレスから始まり、使い捨てドメインにホストされた偽のログインページを利用します
- フィッシングキットには自動化、サポート、GenAIによる強化コンテンツが含まれ、より説得力があり検知が困難になっています
サイバー犯罪者たちは、VoidProxyと呼ばれる全く新しいフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを利用して、Microsoft 365やGoogleアカウントを盗み出しています。セキュリティ研究者のOktaによると、最近発見されたこれらのキャンペーンは、二重の保護層が施されたアカウントも標的にしており、高度かつ回避的であると説明されています。
PhaaSキットとは、技術力の低いサイバー犯罪者でも購入またはレンタルして、効果的なフィッシングキャンペーンを簡単に展開できる、既製のソリューションです。
これは本質的にデジタル詐欺のためのプラグ&プレイ型ソリューションであり、偽のウェブサイトテンプレート、メールやSMSのなりすましツール、データ収集用のバックエンド、さまざまなカスタマイズオプションが含まれています。場合によっては、カスタマーサポートやチュートリアル、自動化機能も付属しています。
MFA(多要素認証)を回避する手口
今回のケースでは、攻撃は正規だが侵害されたメールアドレスから始まります。これにより、スパムメッセージがさまざまなフィルターをすり抜けて受信箱に届きやすくなります。メールは、.icu、.sbs、.cfd、.xyz、.top、.homeなどの低コストで使い捨て可能なドメインにホストされた偽のMicrosoft 365やGoogleのログインサイトへ誘導しようとします。
そこで被害者はこれらのサービスへのログインを求められ、多要素認証(MFA)でOktaなどのSSOを利用してアカウントを保護している場合は、さらに別のフィッシングページへリダイレクトされます。
被害者と攻撃者間の通信は正規サービスへリダイレクトされ、送受信されるコードが途中で盗み取られます。VoidProxyはセッションクッキーを傍受・コピーできるため、攻撃者はログインせずともアクセス権を得ることが可能です。
フィッシング攻撃はここ数年でさらに危険かつ巧妙になっています。二要素認証コードを盗むだけでなく、生成AI(GenAI)ツールの恩恵も受けています。GPT以前の時代では、フィッシングメールにはスペルミスや文法ミス、言語の不一致や全体的な不自然さが目立っていました。
