攻撃者の皆さん: Okta FastPass を悪用しないでください

トピック

Social Engineering, MFA Downgrade, Credential Phishing

Okta脅威インテリジェンスが確認した最近のソーシャルエンジニアリングキャンペーンの標的に対して行われたこの異常な指示は、高度で保証レベルが高いサインイン方法の採用が増加していることに対し、サイバー犯罪者がどのように戦術を進化させているかを示しています。

観察されたフィッシング攻撃では、攻撃者は企業のCEOになりすまし、標的のユーザーに企業のセキュリティ対策を回避させようとしました。このキャンペーンでは、信頼されているインスタントメッセージのコミュニケーションチャネル（この場合はSlack）を悪用して、標的のユーザーを誘い込みました。

攻撃者は、Slack経由でダイレクトメッセージを送信し、標的にOkta FastPassの使用を避けるように依頼します。

Oktaのお客様のセキュリティ担当者は、security.okta.comで認証すると、このフィッシングキャンペーンに関する詳細な脅威アドバイザリにアクセスできます。

なぜ攻撃者はあなたのサインイン方法について意見を持っているのでしょうか？

ユーザーに提供するサインイン方法（「認証者」）の選択は非常に重要です。

私たちが確認したフィッシングのおとりは、標的ユーザーをEvilginx（中間者（AitM）透過プロキシ）を実行しているフィッシングページに誘導しました。

これらのフィッシングキットは、攻撃者のインフラストラクチャを介して正当な認証要求を通過させるために使用でき、攻撃者はユーザーのパスワードとリソースへのアクセスに必要なワンタイムパスコード（SMS、TOTPなど）の両方にアクセスできるようになります。フィッシングページは、これらのプロキシを介してサインインする際にユーザーのブラウザに返されるセッショントークンをキャプチャするように構成することもできます。

AitMフィッシングキットは、強力なフィッシング耐性のある認証方法を実装し、ポリシーでフィッシング耐性を強制する組織に対しては効果がありません。

管理者が認証ポリシー規則でフィッシング耐性を適用すると、ユーザーはOkta FastPass、FIDO2ベースの認証、またはPIVスマートカードを使用してのみ、保護されたリソースにアクセスできます。これらのサインイン方法では、リクエストが透過プロキシを経由する場合、アクセスは許可されません。ユーザーは、他のサインイン方法を選択するように騙されることはありません。

過去には、攻撃者が特権ユーザーを説得してFIDO2セキュリティキーを物理的に取り外すように仕向け、認証ポリシーによって、安全性の低い代替手段を使用したアクセスが許可されることを期待していることも確認しています。より最近の攻撃では、フィッシング攻撃者は、FIDOキーに登録しているユーザーを、キーに欠陥があると誤解させるサインインページに誘導し、ユーザーが手動でフィッシング耐性のある要因を選択することを期待しています。これらの「MFAダウングレード」攻撃は、ユーザーがより脆弱な認証方法に登録しており、ポリシーでフィッシング耐性が義務付けられていない場合にのみ可能です。

高度な認証方法は、FIDO2 が実現できる以上のことを実現できます。たとえば、ポリシーでフィッシング耐性が有効になっている場合、FastPass はユーザーが侵害されるのを防ぐだけでなく、Okta システムログに検出イベントを作成し、他のユーザーがフィッシングキットとやり取りしたかどうかを特定するために使用できます。また、攻撃者がインフォスティーラーマルウェアを使用して別のデバイスから盗まれたセッショントークンを再生しようとするたびに、デバイスコンテキストをチェックします。アイデンティティ脅威からの保護と組み合わせると、FastPass は自動的に「Universal Logout」イベントを呼び出し、侵害されたユーザーをダウンストリームアプリからサインアウトさせ、必要に応じてデバイスからサインアウトさせることができます。

では、ユーザーをフィッシング耐性のある認証器に登録すれば安全ですか？

すべてのユーザーがフィッシング耐性のある認証者に登録されている場合、ほとんどの作業は完了しています。

次に必要なことは、フィッシング耐性がポリシーで確実に適用されるようにすることです。これには、各認証ポリシー・ルールが、特にフィッシング耐性を必要とするように設定することが含まれます。

Okta Identity Engineを使用すると、管理者はポリシー・ルールで特定の認証方法を許可リスト（または拒否）することもできます。

Okta FastPass がさまざまなオペレーティングシステムおよびブラウザでフィッシング耐性をどのように強制するかについては、Okta FastPass Technical ホワイトペーパーを参照してください。

より弱い認証フォーム（知識ベースの要因、SMSなど）が不要になったと確信できる場合は、無効にするか、補償コントロールを適用できる特定のリスクの低いシナリオに限定することをお勧めします。

このソーシャルエンジニアリングキャンペーンに関するアクセスするには、詳細な脅威アドバイザリについて、Okta 顧客のセキュリティ担当者は、Okta Security Trust Centerにサインインできます。

作者について

Brett Winterford

VP, Okta Threat Intelligence

Brett Winterford is Vice President of Okta Threat Intelligence. Okta Threat Intelligence delivers timely, highly relevant and actionable insights about the threat environment, with a focus on identity-based threats. Brett was previously the regional Chief Security Officer for Okta in the Asia Pacific and Japan, and advised business and technology leaders in the region on all things identity.

Prior to Okta, Brett held a senior security leadership role at Symantec, and helmed security research, awareness and education at Commonwealth Bank. Brett is also an award-winning journalist, editor-in-chief of iTnews Australia and a contributor to the Risky Business podcast and newsletter, to ZDNet, the Australian Financial Review and the Sydney Morning Herald.

アイデンティティ施策を推進