Proofpoint のセキュリティ研究者は、時間が経つにつれてさらに深刻化する可能性のある新たな脅威について警告しています。フィッシングキットを公開するハッカーは、多要素認証を回避する機能をソフトウェアに追加し始めています。
Proofpoint社によると、MFA企業Duoの最近の調査によると、2021年時点でMFAを保有または使用している人は78%に増加しており、2017年にはわずか28%だった。この急激な増加は、ここ数年でサイバー犯罪者を動揺させたことは間違いないが、だからといって彼らが完全に消滅したわけではない。むしろ、野心的なハッカーはMFAのような挑戦に突き動かされており、Proofpointは彼らが成功を収めたことを示す証拠を持っているようだ。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Stellar Cyberの創設者兼CTOであるAimei Wei氏によると、MFAに対抗するために進化した中間者フィッシングの手法は「既に存在し、実際に発生しています。一般ユーザーだけでなく、企業ユーザーもすでに標的になっています。」
プロキシフィッシングの進化
Proofpointのレポートによると、オンラインで販売されているフィッシングキットは、従来、「人間が読めるコードと簡素な機能を備えたシンプルなオープンソースキット」から、「ユーザー名、パスワード、MFAトークン、社会保障番号、クレジットカード番号を盗むための、多層的な難読化と組み込みモジュールを活用した高度なキット」まで多岐にわたる。典型的な手口は、ログインページなどの標的ウェブサイトを再現し、無知なユーザーを騙すことである。
MFAを導入することで、偽のページは無力化されます。攻撃者はユーザー名とパスワードを入手できたとしても、2要素目はアクセスできない状態です。そこで、Proofpointが「新しい種類のキット」と呼ぶ、ページを再作成するのではなく、透過型リバースプロキシを用いて中間者攻撃(MITM)を行うツールが登場します。この透過型プロキシを用いたMitM攻撃は、被害者と目的のサーバー間のすべてのトラフィックを傍受することで、ユーザーが認証情報やセッションCookieが盗まれたことに気付くことなく、操作を続行できるようにします。
Proofpoint社によると、この新しい手法は、攻撃者が認証情報やMFAコードを盗み取るだけでなく、攻撃者の持続力を高めることにもつながるという。「現代のウェブページは動的で頻繁に変更されます。そのため、偽サイトではなく実際のサイトを提示することで、ユーザーが安全にログインしているという錯覚を著しく高めることができます」と報告書は述べている。
Proofpointは、透過型リバースプロキシを用いたMitM攻撃において、Modlishka、Muraena/Necrobrowser、そしてEvilginx2という3つのフィッシングキットが主要な存在として浮上していると指摘しています。これらはそれぞれ異なる機能を持ち、特定の目的に適していますが、ペネトレーションテストなどの正当な目的のために作成されたという大きな共通点があります。
参照: Google Chrome: 知っておくべきセキュリティと UI のヒント(TechRepublic Premium)
「オンラインサービスでは、フィッシング攻撃を阻止するために(これら3つのツールのいずれかを)活用しているかもしれないが、企業が利用するオンラインサービスが現在増え続けていることから、(すべてのベンダーが)この保護対策を講じていることを確認するのは困難だ」とウェイ氏は述べた。
Wei氏とProofpointは共に、MFAを導入する企業が増えるにつれて、透過プロキシを利用したMitMフィッシング攻撃は増加すると警告しています。つまり、アカウント盗難に対する唯一の対策として、複数の認証要素に頼るのは賢明ではありません。
Proofpoint は、Google が全ユーザーに対して MFA を必須にし始めたことに触れ、企業と消費者向けの組織の両方で同様のテクノロジーを採用する組織が増えるにつれて、ハッカーが安価ですぐに使用できるホスト型マルウェア ソリューションに目を向けるようになるだろうと述べています。
「これらは導入が簡単で、無料で利用でき、検出を回避する効果も実証されています。業界は、これらのマルウェアが予期せぬ方向に進化する前に、このような盲点に対処する準備をする必要があります」とProofpointは述べています。
