広範囲にわたる日和見的なSMSポンピング攻撃が顧客サインアップページを標的にしています。

エグゼクティブサマリー

Okta 脅威インテリジェンスは、O-UNC-036として内部的に指定されている、共有された使い捨てE メールインフラストラクチャとコモディティプロキシサービス のクラスタを特定しました。これは、パブリックAPIエンドポイントに対する大量の自動化された試行を起動するために使用されています。

このインフラストラクチャは、少なくとも2025年7月初めから、複数の持続的かつ大規模で、金銭目的のSMSポンピングキャンペーンで確認されています。

この攻撃を実行するために、攻撃者は次のアクションシーケンスを実行します。

1. 多くの場合、ドメインのセットに関連付けられている使い捨てE メールアドレスを使用して、新しいアカウントを作成します
   
2. 認証要素として、攻撃者が管理する電話番号を追加する
   
3. 彼らの金銭的な目的を達成するために、できるだけ多くのメッセージをその番号に送信します。

これらの攻撃は、電話プロバイダーへの請求額を増大させることにより、標的組織に多大な経済的コストをもたらします。この使い捨てE メール ドメインのクラスターからの過去のアクティビティを少なくとも 2024 年 3 月まで追跡することができました。これは、持続的でアダプティブな取り組みを示しています。経済的リスクが高く、サービスが低下する可能性があるため、このレポートに概説されている保護対策、監視、および積極的な対応を直ちに実装することを強くお勧めします。

脅威分析

このキャンペーンの主な目的は、SMSポンピングキャンペーンを実行するために、日和見的な大規模アカウントを作成することです。これらの攻撃では、攻撃者は高コストの国際またはプレミアムレートのSMSプロバイダーと協力して利益を得ます。攻撃者は、ターゲットのアイデンティティプラットフォームのSMS配信システムを悪用し、高コスト地域で管理している電話番号にメッセージを送信します。被害組織は、これらの国際またはプレミアムSMSメッセージの法外な量とコストに対して請求され、攻撃のコストは電話料金で数十万ドルに達する可能性があります。

攻撃は、大量のパターンに従います。

• 偵察と列挙：攻撃者は、SMSコードをトリガーする多要素認証（MFA）またはユーザー登録エンドポイントを特定します。
• インフラストラクチャのセットアップ：攻撃者は、コモディティプロキシサービス（VPN、匿名化プロキシ、レジデンシャルボットネットなど）を使用して、トラフィックの送信元IPアドレスを分散させ、IPのみに基づくレート制限の効果を低下させます。
• 大量のリクエスト：自動化されたスクリプトは、既知の高コストの電話の国コードと、急速に生成された使い捨てのE メールアドレスを使用してリクエストを送信します。
• クラスターの活動：O-UNC-036のインフラストラクチャは重要なイネーブラーです。このクラスターは、使い捨ての共有E メールアドレスドメインをローテーションで使用して、E メールベースのレート制限とテナントレベルのベロシティチェックを回避し、メッセージリクエストのアカウントを迅速に切り替えることを可能にします。Okta Threat Intelligenceは、このクラスターの活動を少なくとも2024年3月まで追跡しています。
• 対象範囲：Auth0とOCIの両方の複数のテナントと組織でこのアクティビティを観察しました。これは、SMS配信をトリガーする脆弱なエンドポイントの広範囲にわたる無差別な検索を示しています。同じ共有インフラストラクチャが、独自の顧客サインインページを構築したり、代替サービスを使用したりする組織への攻撃にも使用される可能性があります。

ログでこれらの攻撃を識別する方法の技術的な詳細については、このレポートの「検出と指標」セクションを参照してください。

パスワードスプレー攻撃の検知

私たちの調査では、このレポートの指標セクションにリストされているドメインの下で、E メールの正当な使用は発見されていません。したがって、そのようなE メールを持つユーザーの存在は、攻撃を検出するのに十分です。この攻撃の潜在的な期間を考えると、管理者は過去および将来の影響範囲を判断するために、ログを可能な限り遡って確認することが重要です。

Okta Customer Identity

• 会社の通常の事業地域外の国に送信されるメッセージの数が非常に多い。
• 以下のイベントタイプの急増：

 system.sms.send_okta_push_verify_message

または

system.sms.send_factor_verify_messageresult=DENYの場合

            と

reason=通話料金詐欺の疑い

• 次のイベントタイプの急増：

 system.E メール.new_device_notification.sent_message

悪意のあるアカウントの代替プロキシプロバイダーまたはASNとして、すべてのログイン。

検出戦略の包括的な概要については、サポート記事「Oktaを音声認証に使用する際の料金詐欺の軽減方法」の「Okta orgの監視」セクションを参照してください。

Auth0

• 侵害指標セクションにリストされているドメインからのssイベント。管理者は、FOSS Auth0 Security Detection Catalogで提供されている検出ルールを参照し、必要に応じて変更する必要があります。
• Guardianイベント、特にgd_enrollment_completeおよびgd_send_smsイベントの急増。管理者は、risk_of_signup_fraud_by_volume.ymlおよびsms_bombarding.yml検出ルールをAuth0 Security Detection Catalogで使用することをお勧めします。
• Security Centerでの「MFAバイパス」イベントの急増。
• 会社の通常の営業地域外の国に送信されるメッセージの数が多い。

保護対策と対応

Okta 脅威インテリジェンス は、これらの攻撃者がコントロールの導入に不満を感じると、標的を放棄することを観察しました。これにより、積極的な対応と適切なコントロールの実装がこれらの攻撃を阻止するのに効果的になります。

• SMS メッセージの送信には常に費用がかかるため、攻撃者は上澄みをすくい取る方法を見つけるでしょう。このリスクは、別の認証要素に移行することによってのみ完全に軽減できます。FIDO Authentication (パスキー) の採用を強くお勧めします。
• 私たちの調査では、このドキュメントのIdenticatorsセクションに記載されているドメインの正当な使用は発見されていません。独自の評価を行った後、これらのE メールを提供したユーザーを非アクティブ化します。
• このドキュメントの指標セクションに記載されたASNから作成されたアカウントは、正当であることはめったにありません。管理者は、摩擦が大きな懸念事項でない限り、これらのアカウントを無効化することをお勧めします。
• テレフォニープロバイダーで、信頼できない国へのメッセージの送信を無効にします。

Okta Customer Identity

• WebAuthnを用いたFIDO認証を実装し、ユーザーの要素をSMSから移行します。
• SMSまたは音声要因の代わりに、パスキーを使用してください。
• 拡張された動的ネットワークゾーンを活用して、Edgeで匿名化ツールとプロキシをブロックします。
• 悪意のあるドメインからのセルフサービス登録ユーザーを管理するためのワークフローの利用。悪用または拡張できるOkta アイデンティティ Defenseによって生成されたワークフローが存在し、こちらにあります。
• Okta APIを使用して、特定されたユーザーの大きなバッチを迅速に無効化します。
• ID プルーフィングの統合を活用します。
• 対応と予防的制御の包括的な概要については、サポート記事「Oktaを音声認証に使用する場合の料金詐欺を軽減する方法」を参照してください。
• 電話プロバイダーが提供するツールを使用して、疑わしいアクティビティをブロックします。

顧客にサービスを提供している特定の国のリストに自信がある場合は、Okta Supportに連絡して、許可されている電話番号の国のリストを提供してください。組織のレート制限の変更をリクエストすることもできます。

Auth0

• WebauthnによるFIDO認証を実装し、ユーザーの要因をSMSまたは音声要因から移行します。
• SMSまたは音声要因の代わりに、パスキーを使用してください。
• Auth0のテナントアクセスコントロールリスト機能を使用して、漏洩/侵害の指標セクションのASおよびTLSクライアントのフィンガープリントからのリクエストをEdgeでブロックします。
• これらの攻撃者は摩擦に特に敏感であるため、Bot Detectionを有効にし、CAPTCHAを強制することは効果的な制御になります。
• にリストされているE メールドメインを使用してユーザーが登録するのをブロックします
• サインアップとログインのトリガーを含む侵害指標セクション。
• テレフォニープロバイダーで、信頼できない国へのメッセージの送信を無効にします。
• レート制限を下げて、攻撃者が同じIPアドレスを使用して作成できるアカウントの数を減らします。
• Auth0 marketplaceで利用可能なもののような、ID プルーフィング統合を検討してください。
• 多数の不正ユーザーを特定した場合は、Auth0サポートに連絡して支援を求めてください。

付録A：指標

これは継続的な調査であり、キャンペーンの進化に応じて追加の指標が特定される可能性があります。組織は警戒を怠らず、推奨される軽減戦略を実施することをお勧めします。