このブログ記事は、クレデンシャルフィッシングの増加傾向と、あらゆる規模の組織がOktaを使用してフィッシング耐性のある多要素認証を実装する方法に焦点を当てた一連の投稿の最初のものです。
認証情報をだまし取って、ビジネスアプリケーションの認証情報などの機密性の高い個人情報を公開させるクレデンシャルフィッシングは、今日のWeb上で最も蔓延しているアイデンティティベースの攻撃の1つです。セキュリティ企業と攻撃者は、新しいセキュリティ技術がより新しく、より巧妙な攻撃ベクトルによって対抗されるという、猫とネズミのゲームを続けています。
たとえば、送信者のアドレス、件名、コピー、署名などのいくつかの要素のスキャンに依存する署名ベースの電子メールセキュリティツールは、ポリモーフィックフィッシングによってバイパスされています。これは、検出を回避するためにこれらの要素を常に変化させる攻撃手法です。
TLS証明書を使用しているかどうかを調べることによって、偽のドメインを識別する検出メカニズムは、LetsEncryptなどの無料のTLS証明書プロバイダーを介してHTTPSを使用する偽のドメインを設定する悪意のあるアクターによって阻止されています。
セキュリティ対策を追加した多要素認証(MFA)を使用している組織は、最初の要素だけでなく2番目の要素も標的とするように進化したMFA固有のフィッシング攻撃の増加を報告しています。
ほとんどの組織は、ユーザーの意識向上と、フィッシングメッセージを見抜き、偽のドメインを識別するためのユーザーのトレーニングに、より多くの投資を行っています。ただし、最近の攻撃では高度な手法(たとえば、通常の文字の代わりにキリル文字でドメインを登録するなど)が広まっていることを考えると、一部の従業員が攻撃に引っかかり、悪意のあるドメインへのリンクをクリックする可能性は非常に高いです。
このブログ投稿では、フィッシング攻撃の高度化に対する対抗策としてのフィッシング耐性のあるMFAの重要性に焦点を当て、より高い保証レベルの認証器を使用してフィッシング耐性を持たせるために、従来の二要素認証(2FA)メカニズムを強化することの重要性を強調しています。
最新のクレデンシャルフィッシング攻撃の仕組み:中間者の敵
過去には、クレデンシャルフィッシング攻撃は、攻撃者がミッションクリティカルなアプリケーションのログインページの静的なHTMLテンプレートを再作成し、これらの偽のページへのリンクを被害者に送信し、入力されたクレデンシャルを記録し、個人的な攻撃を仕掛けたり、ダークウェブで販売したりするという傾向に従っていました。2FAは、たとえば、SMSベースのOTPを使用してこのような攻撃をブロックし、攻撃を阻止することができました。
しかし、Oktaが観測した最近の高度なフィッシング攻撃では、攻撃者が静的なテンプレートから、実際サイトと偽サイトの間にプロキシをセットアップし、リアルタイムのman-in-the-middle(AiTM)攻撃を仕掛けるリバースプロキシベースのフレームワークに移行していることが確認されています。これらのフレームワークを使用すると、クライアントのリクエストを別のサーバーに渡すことができます。これにより、フレームワークはAiTMエージェントとして機能し、クライアントからのすべてのリクエストを効果的に傍受し、変更して別のサーバーに転送できます。次に、サーバーの応答を傍受し、変更してクライアントに転送できます。この設定により、攻撃者はPOSTリクエストパケットで送信された認証情報をキャプチャし、サインインに成功すると、プロキシされたサーバーから返送された有効なセッションCookieをキャプチャできます。これは、実際のドメインへのSSOに使用できます。
このようなフレームワークの一例がEvilginxです。これは、Web上で自由に利用できるオープンソースツールです。Evilginxは、スタンドアロンのAiTMリバースプロキシです。MFAセッションからクレデンシャルとセッショントークンをキャプチャし、盗まれたクレデンシャルをリプレイしてMFAをバイパスするために使用できます。このような攻撃がどのように機能するかの段階的な例を次に示します。
- 脅威アクターは、AiTM 攻撃を仕掛けるためのリバースプロキシ攻撃フレームワークである Evilginx をダウンロードして構成します。
- 攻撃者は偽のドメインを設定し、LetsEncryptのような無料サービス(ウェブサイトを正当で安全なウェブサイトとして描写するための無料のTLS証明書プロバイダー)を使用します。
- 敵は、電子メールまたはテキストを介して被害者にフィッシングメッセージを送信します。
- 被害者はフィッシングURLをクリックし、登録済みドメイン上の偽のアプリログイン画面が表示されます。
- 被害者はパスワードを入力し、セカンドファクタを求められます。
- 被害者は認証を行い、Evilginxは2FA後に生成されるセッションクッキーをキャプチャします。
- 被害者はリダイレクトURLにリダイレクトされ、認証が機能しなかった理由を不思議に思います。
- 攻撃者は、クレデンシャルとセッショントークンをキャプチャし、それらを使用してMFAバイパスで実際のWebサイトにログインします。機密データとアプリケーションが侵害される可能性があります。
従来のMFAとフィッシング耐性のあるMFA
従来の2要素認証(2FA)/多要素認証(MFA)が、依然として多くの形式の認証情報窃盗に対して効果的な保護手段であることに注意することが重要です。
- 盗まれたパスワードで攻撃者ができることを制限し、
- 攻撃者がそれをバイパスしようとすると、多数の検出機会が生まれます。
ただし、SMS、または電子メールベースのOTP、プッシュ通知などに依存するこれらの従来のメカニズムには、重要なギャップが1つあります。それらは、正当なドメインと悪意のあるドメインを区別できません。そのためには、前述のAiTMシナリオなどの攻撃を防ぐために、フィッシング耐性のあるMFAが重要です。では、フィッシング耐性のある MFA には具体的にどのようなものが含まれており、2FA よりも安全なのはなぜでしょうか。
米国国立標準技術研究所(NIST)は、特別刊行物800-63Bを発行しました。これは、デジタルIDサービスを実装する連邦政府機関の技術的要件を明確にし、フィッシング耐性のあるMFAの定義に役立ちます。 この刊行物で特定された主要なフィッシング耐性属性には、次のものがあります。
- 認証者とユーザーID間の暗号バインディングを使用した、検証者のなりすまし耐性
- OTP デバイス、暗号化認証システム、およびルックアップシークレットによるリプレイ耐性
- 検証者の侵害耐性は、検証者が保存するすべての公開鍵が承認された暗号化アルゴリズムの使用に関連付けられていることを確認することによって実現します
- 認証インテント:ユーザーが各認証または再認証リクエストに明示的に応答する必要がある
簡単に言うと、MFA (多要素認証) メカニズムがAiTM攻撃に対してフィッシング耐性があると見なされるには、使用される認証要素が暗号的にドメインにバインドされ、実際のドメインと攻撃者が生成した偽のドメインを区別できる必要があります。これにより、メカニズムは攻撃を即座に停止できるため、攻撃者は認証情報やセッションクッキーをキャプチャして再生することができなくなります。認証者は、エンドユーザーが所持および管理するものであり、PIVカード、パスワード、YubiKeyなどがあり、アカウントの認証に使用します。
NIST の出版物には、Authenticator Assurance Levels (AAL) を定義するためのいくつかの役立つガイドラインも記載されています。これらのガイドラインは、さまざまな認証システムの強度を比較し、フィッシングやその他の形式の個人情報盗難に対する耐性が高い認証システムを選択するためのヒントを提供します。
以下の表は、Oktaがサポートするさまざまな認証器の長所と短所の概要と、それらの保証レベルを示しています。
Oktaでサポートされている認証システムのタイプ
|
保証レベル |
認証者 |
長所 |
短所 |
|
低 |
パスワード |
|
|
|
低 |
セキュリティに関する質問 |
|
|
|
低 |
SMS、音声、Eメールのワンタイムパスワード(OTP) |
|
|
|
低 |
モバイル/デスクトップ ワンタイムパスワード(OTP)アプリ
例:Okta Verify OTP、Google Authenticator、Authy |
|
|
|
Medium |
モバイルアプリのプッシュ通知
例: Push を使用した Okta Verify |
|
|
|
Medium |
物理トークンワンタイムパスワード(OTP)
例:Symantec VIP |
|
|
|
高 |
FIDO 2プラットフォーム認証要素(Apple Passkeys、Mac Touch ID、Android指紋、Windows Hello) およびパスキー |
|
|
|
最高 |
Personal Identity Verification (PIV)/ Common Access Card (CAC) スマートカード |
|
|
|
最高 |
FIDO 2.0 ハードウェアベースのセキュリティキー例:YubiKey
|
|
|
|
最高 |
Okta FastPass |
|
|
攻撃者がエンドポイントをターゲットにしたらどうなりますか?
一部のフィッシング攻撃は、アカウントやデバイスを乗っ取り、資格情報やセッションをハイジャックするために、マルウェアやランサムウェアを配信するペイロードに依存しています。このようなエンドポイントの脅威に対処するため、OktaはVMwareやCrowdStrikeなどの主要なエンドポイント保護および管理プロバイダーと提携しています。これらの統合により、デバイスのリスクシグナルがOkta Identity Cloudに配信され、エンドポイントエコシステム全体でより安全でシームレスなアクセスが実現します。
Oktaの認証情報のフィッシング耐性機能
Oktaは、ビジネスパートナーから拡張ワークフォースまで、すべてのユーザーペルソナをサポートするエンドツーエンドのアイデンティティ中心のフィッシング耐性認証を提供し、組織向けに大規模に機能します。これらのプロトコルや標準は以下を含みます。
- Okta FastPass を使用したフィッシング対策 (これに関するさらにエキサイティングな発表については、 Oktane 2022 をご覧ください)
- WebAuthnによるFIDO 2標準のサポート
- PIVスマートカードのサポート
Oktaのソリューションは、あらゆるデバイス管理ツールと統合して、フィッシング耐性のある認証フローを強制します。Oktaは、管理者が組織内のシステムおよびアプリケーションへのアクセス権を持つデバイスの最小要件を確立できるように、認証ポリシー規則にデバイスチェックを追加するためのサポートも提供しています。
Oktaのソリューションが従業員、請負業者、パートナーの保護と有効化にどのように役立つかについて詳しくは、https://www.okta.com/fastpass/をご覧ください。
