著者:Anjali Gopinadhan Nair
AiTM攻撃はパスワードを盗みません。実際のログインの結果をコピーします。乗っ取られたセッションを検出するには、ユーザーがログインした後に何が起こるかを監視する必要があります。
セキュリティ業界は何年にもわたってより良い認証の構築に取り組んできました。より長いパスワード、2番目の要因、ハードウェアトークン。そして攻撃者は認証を完全に超えて移動することで対応しました。
中間者(AiTM)フィッシングは認証情報を盗んで再生するわけではありません。ユーザーと正規のサービスの間に位置し、実際の認証がリアルタイムで成功するのを監視し、それが発生したことを証明するセッショントークンを持ち去ります。ログインは本物でした。MFAプロンプトは本物でした。攻撃者は単に観察しました—そして結果をコピーしました。
これらの攻撃がどのように機能するかについての分析を読んだことがあれば、メカニズムを理解しています。この記事はその理解の後に何が来るかについてです。具体的には、攻撃が認証情報にまったく触れない場合、どのようなコントロールがリスクを軽減しますか?
ほとんどの現在の防御がポイントを逃す理由
AiTMフィッシングについて学んだ後の本能は認証を強化することです。ハードウェアキーを購入します。Passkeyをデプロイします。特権アカウントにフィッシング耐性MFAを強制します。
その本能は正しいですが、不完全です。
フィッシング耐性認証は認証情報盗難段階を停止します。FIDO2とPasskeyは認証チャレンジを暗号的に正規ドメインにバインドするため、プロキシドメインはハンドシェイクを完了できません。これは機能します。Passkeyを広く展開した組織は、認証層でのAiTM露出を大幅に削減しました。
しかし、認証は重要な唯一の層ではありません。正常な認証後に発行されるセッショントークンが真の対象であり、ほとんどの組織はそれらを発行されたら本質的に信頼できるものとして扱います。彼らはそうではありません。
セッションクッキーはベアラートークンです。それを保持している人は誰でも認証されています。トークンと生成したデバイスの間に暗号的なバインディングはなく、保持者が彼らが主張する人物であることの継続的な証拠はなく、場所の変更またはデバイスの不一致によってトリガーされる自動有効期限はありません。あるセッショントークンを1つの国で盗む攻撃者は、別の国からそれを再生することができ、IDプロバイダーはそれを正当なものとして受け入れます。
これは、ほとんどの防御が現在ギャップを持っている場所です。
ギャップを埋める3つのコントロール
コントロール#1:セッションをマネージドデバイスにバインドする
セッションセキュリティの最も効果的な単一コントロールは、機密リソースへのアクセスの条件として、マネージドで準拠したデバイスを要求することです。アクセスポリシー— Microsoft Entra Conditional Accessなど—デバイスが提示するセッショントークンが登録され、マネージドされ、コンプライアンス要件を満たしていることを要求する場合、盗まれたトークンの再生ははるかに難しくなります。
セッショントークンをインターセプトする攻撃者は、ポリシーがデバイスコンプライアンスを要求する場合、アンマネージドマシンから簡単に再生することはできません。セッションは終了されます。攻撃者はトークンだけでなく、準拠したデバイスも必要です—はるかに高いハードル。
このコントロールは完全ではありません。高度な攻撃者は、マネージドデバイスを直接危険にさらす試みができます。しかし、それは最も簡単な再生ベクトルを排除します:盗まれたトークンを取得し、完全に異なるマシン上のブラウザで開くこと。
実践的な課題はロールアウトです。すべてのユーザーにマネージドデバイスを要求することは、請負業者、パートタイム労働者、仕事用個人デバイスを使用している人に摩擦をすぐに生成します。実用的なアプローチは、最高リスクアクセスで開始することです:管理ロール、財務システム、および機密データを処理するすべてのアプリケーション。デバイス管理カバレッジが改善されるにつれて、そこから展開します。
コントロール#2:認証後の異常を監視する
AiTM攻撃は失敗したログイン試行を生成しません。成功したものを生成します。認証失敗に焦点を当てた従来の監視は、これらの攻撃を完全に逃します。
重要なシグナルは、認証が成功した後に起こることにあります。具体的には:
- 不可能な旅。 セッションが1つの場所から認証され、その後、数分後に地理的に離れた場所からリソースにアクセスする場合、それは調査を保証します。イベント間の時間は重要です—ニューヨークで認証され、30分後に別の大陸からリソースにアクセスするセッションは、正常なユーザーシナリオではありません。
- 新しいデバイスの登録。 セッションアクセスを獲得する攻撃者は、多くの場合、新しいMFAデバイスをすぐに登録するか、新しい認証方法を追加して永続的なアクセスを確保します。成功したログインの数分以内に発生する新しいデバイス登録は、アラートの価値があるハイフィデリティシグナルです。
- インボックスルールの作成。 多くの攻撃キャンペーン全体での一貫した侵害後の動作は、セキュリティアラートを隠し、攻撃者が制御するアドレスに通信を転送するよう設計されたメール転送ルールまたはインボックスフィルターの作成です。 Microsoftの独自のインシデント対応チームは、このパターンを何度も文書化しています。インボックスルールの作成、特に外部に転送するか、特定のキーワードを含むメールを隠すルールを監視すると、この動作を確実にキャッチします。
- 特権エスカレーション試行。 標準ユーザーアカウントへのアクセスを得た攻撃者は、通常、より高い特権のロールにエスカレートするか、管理インターフェイスにアクセスしようとします。新しいセッション認証の直後の管理ポータルまたは特権管理システムに対する異常なアクセス試行は、フラグを立てる価値があります。
これらのシグナルのいずれも、それ自体では決定的ではありません。しかし、組み合わせの周りに検出ルールを構築する—成功した認証に続いて不可能な旅に続いて新しいデバイスの登録、例えば—認証監視が完全に逃すAiTM侵害後活動を捉える検出機能を作成します。
コントロール#3:高価値アクセスのセッション有効期間を短縮する
長命なセッショントークンは、攻撃者に正常なインターセプション後に操作するより多くの時間を与えます。7日間有効なままのトークンは、1時間後に期限切れになり、再認証が必要なトークンよりもはるかに大きなウィンドウを提供します。
より頻繁な再認証の摩擦は本物です。ユーザーは気付きます。1日を通して継続的に使用される生産性アプリケーションの場合、積極的なセッションタイムアウトは悪い経験を生成します。
答えは、均一なポリシーではなく、リスクベースのセッション管理です。低感度の生産性ツールにアクセスするセッションは、より長い寿命を持つことができます。財務システム、管理インターフェイス、HRデータ、または規制情報を処理するものにアクセスするセッションは、短い寿命を持ち、機密操作を実行する前に再認証を要求する必要があります。 NISTのデジタルアイデンティティガイドラインは、保証レベル別にセッションタイムアウトしきい値について考えるための有用なフレームワークを提供します。
このアプローチは、リスクが最も高い場所に摩擦を集中させ、ユーザーとリーダーシップの両方にとってそれをより防守可能にします。
トレーニング問題は消えていません
技術的なコントロールはリスクを軽減します。彼らはそれを排除しません。ユーザーは攻撃対象の一部のままであり、ほとんどの組織が提供する認識トレーニングは、AiTMフィッシングがどのように見えるかに備える準備ができていません。
従来のフィッシングトレーニングは、人々にフェイクページの指標を探すように教えます:スペルミス、疑わしいURL、珍しい送信者アドレス。AiTMフィッシングページは、それらが偽物ではないため、これらの指標のいずれも表示しません。彼らは実際のサービスをリアルタイムでプロキシします。URLは疑わしいかもしれませんが、メール内のリンクをクリックするユーザーは、トレーニング後でも、URLを慎重にチェックすることはめったにありません。
AiTM露出を減らすための1つの行動の変化は、シンプルで教えられるものです:メール内のリンクから認証フローを開始しないでください。サービスに直接移動します。ログインページをブックマークしてください。どこかにログインするように指示するメールを受け取った場合、クリックスルーするのではなく、ブラウザタブを開いてアドレスを自分で入力してください。
これは明白に聞こえます。それは本能的ではありません。ほとんどのユーザーは、より速く、これらのリンクが通常は正当なため、メール内のログインリンクをクリックするのに長年を費やしてきました。その動作を変更するには、古いアプローチがもはや安全ではない理由を説明する明示的で繰り返されるトレーニングが必要です—単に一般的にフィッシングについてより疑わしくなるように指示するだけではなく。
これを低摩擦レポートメカニズムとペアにしてください。何か違うと感じるユーザーは、数秒でそれをフラグすることができます。成功したセッション侵害からの損害を制限する際の早期レポートの価値は重要であり、レポートが労力を必要とするか、責任を生成するように感じるのではなく行動を生成するように感じる場合、その価値は消えます。
正直な評価
AiTMフィッシングは実在する増加脅威です。 Tycoon 2FAやFlowerStormなどのフィッシング・アズ・ア・サービスプラットフォームは、これがもはや洗練された脅威アクターを必要とする高度な技術ではない点に参入障壁を低下させました。購読を支払う意思がある誰もが利用できるコモディティ攻撃です。
露出を減らす組織は、セッションセキュリティを認証情報セキュリティと同じくらい真摯に扱い、失敗したログインだけではなく認証後の動作の周りに検出機能を構築し、ユーザーに現代的なフィッシングがどのように機能するかの現実的なモデルを与えるものです。
フィッシング耐性認証は正しい長期的な方向です。そこに到達するには、時間、予算、変更管理が必要です。その間、上記のコントロールは、完全なPasskeyデプロイメントを待たずに意味のあるリスク削減を提供します。
目標は、AiTM攻撃を不可能にすることではありません。攻撃者がより簡単なターゲットに移行するのに十分な費用がかかるようにすることです。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したい?
Anjali Gopinadhan Nairは現在Everwayのサイバーセキュリティエンジニアを務めており、アイデンティティおよびアクセス管理(IAM)、クラウドセキュリティ、および脅威インテリジェンスを専門としています。彼女は、エンタープライズ環境全体のアイデンティティ拡散と非人間エンティティの脆弱性の重大な課題に対処するセキュリティフレームワークを構築する際の技術的専門知識で認識されています。
Anjaはグローバルサイバーセキュリティコミュニティのアクティブな貢献者であり、組織が進化するアイデンティティランドスケープをナビゲートするのに役立つ新興デジタル脅威に関するオリジナルの研究を共有しています。彼女は「アイデンティティ第一」のセキュリティ姿勢を推進し、アイデンティティガバナンスと自動化された脅威対応の交差点に関する戦略的分析を頻繁に提供することに専念しています。
