Oktaのデモ動画を多数掲載 - コンテンツライブラリ デモ動画を見る
無料トライアル お問い合わせ

フィッシングのリダイレクトに悪用されるインスタントメッセージサービス


寄稿者:
Moussa Diallo

15 7月 2025 読了目安時間: ~

トピック

Social Engineering, Platform Abuse, MFA Downgrade, Credential Phishing, Threat Intelligence

目次

概要

Okta 脅威インテリジェンスは、ソーシャルエンジニアリングのアクターが、攻撃者が管理するSlackテナントのメッセージングサービスを悪用して、標的ユーザーをAitMフィッシングプロキシにリダイレクトしていることを確認しました。

2025年7月以降、
O-UNC-031 として追跡されている一連の脅威活動を観測しており、これらの手法を使用して、 暗号通貨 フィンテック 、および 顧客関係管理(CRM) セクターの企業を標的にしています。

攻撃者は、ユーザーの認証情報を収集するために、Evilginx AitM(中間者)プロキシの使用を含む、高度な技術を採用しています。

主な目的は、企業アカウントへの不正アクセスであると思われます。

脅威分析

Slackメッセージングサービスの不正利用

攻撃チェーンの中心的な要素は、正当なSlackリソースの悪用です。O-UNC-031は独自のSlackワークスペースを作成し、それが標的ユーザーにフィッシングのルアーを配信するための主要なプラットフォームとして機能します。

悪意のある通信の信頼性を高めるために、攻撃者は標的企業の正当な管理者や他の従業員になりすまします。

このなりすましは、攻撃者が管理するSlackワークスペースの「管理者」としてこれらの個人の名前を入力する形で行われます。攻撃者は、なりすまされた個人のプロフィール写真をアップロードすることにより、欺瞞をさらに強化します。これらの写真は、公開されている情報から入手した可能性が高いです。

悪意のあるSlackワークスペースが構成されると、攻撃者は対象ユーザーをワークスペースに招待します。対象ユーザーの企業または個人のE メールアドレスの両方に送信された招待状を確認しました。

ターゲットユーザーがこの招待を承諾するかどうかにかかわらず、信頼できる通信手段(Slackの通知機能)を用いてユーザーを招待するという行為自体が、フィッシングの説得力のある機会を生み出します。

攻撃者は、悪意のあるフィッシングリンクをSlackからの正規のE メール通知に直接組み込むため、標的が悪意のある意図を識別することが著しく困難になります。

攻撃者は、攻撃者が管理するワークスペース内から、ダイレクトメッセージまたは@channelメンションを介して、特別に細工されたフィッシングメッセージを標的のユーザーに送信します。Slackから送信される通知には、以下に示す偽の認証ページまたは会社のログインページにユーザーをリダイレクトするフィッシングリンクが含まれています。

私たちが確認したフィッシングドメインは、次のパターンを使用しました。

  • okta-integrations.com
  • <target>-onelogin.com
  • <target>admin.io
  • <target>-okta.com
  • slack-<target>.com
  • <target>employees.com
  • <target>okta.com

私たちが観察した一般的なソーシャルエンジニアリングのプレテキストには、以下が含まれます:

  • 標的に対して、"給与処理システム"の変更について通知し、"[彼らの] Oktaアカウントを新しい給与システムに接続"するように要求します。
  • 受信者に「優れた業績」と新しい「排他的な新しいSlackワークスペース」への参加を通知し、Oktaアカウントを接続するように促します。
  • 観測されたルアーで使用されているフィッシングURLの例:
    • https://<phishing domain> /slack/connection/2138-4f92-acb7-bk51、
    • https://<phishing domain>/integration/slack/<target>/,
    • https://<phishing domain>/integration/payroll/<target>/

注目すべきことに、私たちが社内環境でテストしたフィッシング攻撃では、標的ユーザーがワークスペースに参加しなくても、フィッシングページへのリンクが提供されました:

  • Slackワークスペースでは、認証されたユーザーが、チャネルへの参加招待をまだ承諾していないユーザーにダイレクトメッセージ(DM)を送信できました。
  • Slackワークスペースでは、招待されたユーザーが招待をまだ承認していなくても、ワークスペースでDMが送信されるたびに、そのユーザーにE メール通知が送信されます。
  • Markdown(Slackでは「Markup」と呼ばれる)を有効にすることで、ハイパーリンクに表示されるテキストを変更して、悪意のあるURIを良性に見せることができました。攻撃者がこの欺瞞の方法を使用していることを確認しました。

Slackは、このキャンペーンで確認された攻撃者が管理するテナントを削除しました。

Adversary-in-the-Middle フィッシング

従来のMFA保護を回避するために、攻撃者はAitMフィッシングプロキシであるEvilginxをデプロイします。このツールを使用すると、多要素認証(MFA)トークンを含む認証情報を傍受して盗むことができます。ただし、Okta FastPass、パスキー、またはスマートカードにユーザーが登録されており、ポリシーでフィッシング耐性が適用されている場合、EvilginxはOktaのお客様には効果がありません。

Okta Threat Intelligenceは、EvilginxがOkta Sign-Inウィジェットやその他の標的企業の認証ポータルなど、さまざまなログインページを模倣するために使用されていることを確認しました。そうは言っても、この攻撃者による追加のフィッシングキットの使用を排除することはできません。

Oktaを装ったフィッシングページ 図1:Oktaを偽装したO-UNC-031フィッシングページ

ファストパスは不要です。私たちはあなたをフィッシングしようとしています

Okta Threat Intelligenceは、このキャンペーンで、標的に「Okta FastPass」機能を使用しないように明示的に指示するフィッシングのルアーを観察しました。

Slack通知を介して送信されたフィッシングルアー。 図2:Slack通知経由で送信されたO-UNC-031フィッシングの誘い

これは、攻撃者がOkta FastPassがAitMフィッシング攻撃をブロックおよび検出できることを認識しているが、同様に、一部のOktaのお客様がすべての認証ポリシーでフィッシング対策を強制しているわけではないことを示しています。フィッシング対策が強制されていない場合、攻撃者は、より低い保証要因(プッシュ、OTP、SMSなど)を使用してサインインするようにユーザーを説得しようとすることができます。

(編集者注:フィッシング耐性を強化するには、管理者として下の図のように、「フィッシング耐性のある」所有要因の制約を確認する必要があります。)

Okta アイデンティティ Engine認証ポリシー規則からのスクリーンショット 図2:Okta Identity Engineの認証ポリシールールのスクリーンショット

その他の戦術、および手順

この攻撃者が使用するフィッシングドメインは、BitLaunchのようなサービスから取得した仮想プライベートサーバー(VPS)でホストされていることがよくありました。BitLaunchのようなプロバイダーの使用は、匿名性を高める暗号通貨決済のサポートと、短期間のキャンペーンのためにVPSを迅速に展開できるため、攻撃者にとって有利です。同様に、ドメインは通常、NICENIC INTERNATIONALを通じて登録されます。これも暗号通貨決済を受け入れ、認識されている寛容または遅い不正使用対応手順、または特定のプライバシー機能を提供する可能性があるため、攻撃者に好まれている可能性があります。

これらのドメインのWHOIS情報には、以下の登録者情報が含まれていることが確認されています。

  • 登録者の州/都道府県: kond
  • 登録国: AW

O-UNC-031は、標的のユーザー認証情報の収集に成功した後、標的組織への認証試行にMullvad VPNと居住用IPを使用していることが確認されています。

脅威対策

私たちの取り組み:

この脅威を軽減するために、次の活動に積極的に取り組んでいます。

  • このキャンペーンに関連付けられている、新しく登録されたフィッシングドメインとインフラストラクチャを継続的に監視します。
  • 関連するレジストラおよびホスティングプロバイダーに虐待報告を積極的に提出して、特定された悪意のあるサイトのテイクダウン要求を開始します。
  • 組織がOkta環境のセキュリティを強化し、侵害された可能性のあるアカウントに関連する不審なアクティビティを調査するための支援とガイダンスを提供します。

Protective Controls

お客様への推奨事項

  • Okta FastPass、FIDO2 webauthn、スマートカードなどの強力な認証者にユーザーを登録します。
  • 認証ポリシーでフィッシング耐性を強化し、より脆弱なサインイン方法を無効にします。
  • Okta認証ポリシーを使用して、顧客が設定可能な条件に基づいてユーザーアカウントへのアクセスを制限することもできます。管理者は、Endpoint Managementツールによって管理され、エンドポイントセキュリティツールによって保護されているデバイスへの機密性の高いアプリケーションへのアクセスを制限することをお勧めします。機密性の低いアプリケーションへのアクセスには、登録済みデバイス(Okta FastPassを使用)で、基本的なセキュリティ状態の指標を示すものを要求します。
  • まれにしか使用されないネットワークからのリクエストを拒否するか、より保証レベルが高いを要求します。Okta Network Zonesを使用すると、アクセスは場所、ASN(自律システム番号)、IP、およびIPタイプ(既知の匿名化プロキシを識別できる)によって制御できます。
  • Okta Behavior and Risk evaluationsを使用して、以前に確立されたユーザーアクティビティのパターンから逸脱したアプリケーションへのアクセス要求を特定できます。このコンテキストを使用して、要求をステップアップまたは拒否するようにポリシーを設定できます。
  • ユーザーに疑わしいE メール、フィッシングサイト、攻撃者が使用する一般的なソーシャルエンジニアリング手法の指標を特定する方法をトレーニングします。エンドユーザー通知不審なアクティビティの報告を設定して、ユーザーが潜在的な問題を簡単に報告できるようにします。
  • リモートユーザーがITサポート担当者に連絡する場合、およびその逆の場合に、アイデンティティを検証するための標準化されたプロセスを文書化、啓蒙、および遵守してください。管理アクセスには、「ゼロスタンディング特権」アプローチを採用します。管理者に、日々のタスクに必要な最小限の権限を持つカスタム管理者ロールを割り当て、より特権的なロールへのJIT(ジャストインタイム)アクセスには二重認証を要求します。
  • 盗まれた管理セッションのリプレイを防ぐために、すべての管理アプリにIPセッションバインディングを適用します。
  • 管理ユーザーが機密性の高い操作を実行しようとするたびに再認証を強制するために、Protected Actionsを有効にします。

フィッシングインフラストラクチャの監視と対応:

  • アプリケーション・ログ(Oktaログ、Webプロキシ、E メール・システム、DNSサーバー、ファイアウォール)で、そのような疑わしいドメインとの通信の証拠がないか確認する。
  • ドメインを定期的に監視して、コンテンツが変更されているかどうか確認してください。
  • ドメインでホストされているコンテンツが著作権または法的マークに違反している場合は、証拠を提供し、ドメインレジストラやWebホスティングプロバイダーに削除リクエストを発行することを検討してください。

付録A:漏洩/侵害の指標

これは現在も進行中の調査であり、キャンペーンの展開に伴い、追加のIOCが特定される可能性があります。組織は、警戒を怠らず、推奨される軽減戦略を実行することが推奨されます。以下に確認されたIOCを示します。

タイプ指標コメント確認場所
IP Address (IP アドレス)157.245.242[.]172フィッシングインフラ2025年7月11日
IP Address (IP アドレス)157.245.227[.]25フィッシングインフラ2025年7月9日
IP Address (IP アドレス)157.245.129[.]184フィッシングインフラ2025年7月9日
IP Address (IP アドレス)64.190.113[.]119フィッシングインフラ2025年7月4日
IP Address (IP アドレス)157.245.134[.]111フィッシングインフラ2025年7月4日
IP Address (IP アドレス)167.99.236[.]196フィッシングインフラ2025年7月3日
IP Address (IP アドレス)206.188.197[.]224フィッシングインフラ2025年7月2日
IP Address (IP アドレス)50.189.65[.]60フィッシングインフラ2025年7月8日
VPNプロバイダーMullvad VPNVPNプロバイダー2025-07
Whoiskond登録者の州/都道府県2025-07
WhoisAW登録者国2025-072025-07


追加の指標は、Okta のお客様が security.okta.com でダウンロードできる、修正されていないアドバイザリからも入手できます。

見積もりに関する注記:
Oktaの脅威インテリジェンスチームは、米国国家情報ディレクター室のコミュニティ指令203 - 分析標準に概説されているように、可能性または確率を表すために次の用語を使用します。

可能性ほぼ
不可能		非常に
ありそうにない		ありそうにないほぼ
五分五分の確率		可能性が高い可能性は非常に高いほぼ
確実(に)
確率リモート非常に
ありそうにない		ありそうもないほぼ
互角		可能性が高い
可能性が非常に高い		ほぼ
確実
パーセンテージ1~5%5~20%20~45%45-55%55~80%80〜95%95~99%

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ