Okta脅威インテリジェンスチームは、新たに登場した極めて回避性の高いフィッシングサービスが、従来のサイバーセキュリティ防御を揺るがし、一般的な多要素認証(MFA)方式を回避しているとの詳細な分析を公開しました。
これまで報告されていなかったフィッシング・アズ・ア・サービス(PhaaS)のオペレーションであり、開発者によってVoidProxyと名付けられています。この脅威は成熟しておりスケーラブルで、攻撃者がMicrosoftやGoogleのアカウントを標的にするために使用されています。
このサービスは、Adversary-in-the-Middle(AitM/中間者攻撃)の技術を使って、認証フローをリアルタイムで傍受し、認証情報、MFAコード、そしてサインイン時に確立されるセッショントークンを取得します。この機能により、VoidProxyはSMSコードや認証アプリのワンタイムパスワード(OTP)など、いくつかの一般的なMFA方式の保護を回避することが可能です。
Okta脅威インテリジェンスチームのバイスプレジデントであるBrett Winterfordは、「このフィッシングインフラは、MFAバイパス能力の点でも、これまで分析から隠されてきた手法という点でも、かなり高度です。これは一時的なインフラ上にホストされており、脅威リサーチャーによる分析を回避するための複数の方法を使用しています。」と解説しています。
VoidProxyプラットフォームは、これまで解析を回避する複数のレイヤーの機能によって分析を免れてきました。その技術には、侵害されたメールアカウント、複数のリダイレクト、Cloudflare CAPTCHA、Cloudflare Workers、動的DNSサービスの悪用が含まれています。
VoidProxy の発見は、Okta FastPass が、ターゲットユーザーによるプロキシインフラを介したサインインを阻止したことをきっかけに始まりました。Brett Winterfordは、「そのシグナルがきっかけとなって、VoidProxyキャンペーンの解析が始まり、このサービスにアクセスしている脅威アクターが使用していた管理パネルなど、機能全体を明らかにすることができました」と説明します。
このような高度なPhaaSを提供することで、VoidProxyは、多様な脅威アクターがAitM フィッシング攻撃を実行するための技術的ハードルを引き下げています。
PhaaSプラットフォームによって侵害されたアカウントは、以下のような多様な悪意ある活動に利用される可能性があります:
ビジネスメール詐欺(BEC)
金融詐欺
データ流出
被害組織内での横展開(ラテラルムーブメント)
Brett Winterfordは、「VoidProxyのような脅威からユーザーを守る最善の方法は、フィッシング耐性のある認証手段に登録し、サインオンポリシーでその使用を義務づけることです」と補足しています。
Okta脅威インテリジェンスチームが観測したすべての攻撃において、フィッシング耐性のある認証手段(今回の場合は Okta FastPass)に登録されていたユーザーは、VoidProxyインフラを通じて認証情報を共有したり、サインインしたりすることができず、「アカウントが攻撃されている」と警告されていました。
さらなる情報として、VoidProxy の解析回避技術、インフラ構成、セキュリティ上の推奨事項の詳細は、Oktaセキュリティブログで確認できます。また、Oktaのお客様は security.okta.comにサインインすることで、20ページにわたる完全な脅威アドバイザリを閲覧できます。
