AiTM攻撃からアカウントを守るには多要素認証を回避するサイバー攻撃への対策

ホーム Foresight Journal コラムAiTM攻撃からアカウントを守るには　多要素認証を回避するサイバー攻撃への対策

AiTM攻撃からアカウントを守るには　多要素認証を回避するサイバー攻撃への対策

コラム

- 2024.4.15

シンガポールに本社を構えるセキュリティ企業であるGroup-IBが「W3LL DONE: HIDDEN PHISHING ECOSYSTEM DRIVING BEC ATTACKS」というレポートを公開しました。代表的なサイバー攻撃のひとつであるビジネスメール詐欺（BEC）に利用されるフィッシングツール「W3LL Panel」について紹介する内容です。このフィッシングツールは多要素認証（MFA）をバイパスして、不正アクセスできるのが特徴です。

この多要素認証をバイパスするサイバー攻撃は、AiTM（Adversary-in-the-Middle）攻撃と呼ばれています。AiTMフィッシングそのものは新しい技術ではありませんが、近年被害が拡大しているので対策を講じる必要があります。

実際、2022年10月から2023年7月にかけて、サイバー犯罪者は「W3LL Panel」を使い、企業で使われている5万6000以上のMicrosoft 365アカウントを標的とし、そのうち8000のアカウントが不正アクセスされたそうです。

また、アメリカのエンタープライズセキュリティ企業のプルーフポイントによると、2023年3月から6月にかけて、世界中の数百の組織を標的として、約12万通のフィッシングメールが送信されました。AiTM攻撃の定番ツールの一つである「EvilProxy」を利用し、これまでに全世界で100以上の組織が標的となり、150万人の従業員が被害に遭っているのです。大手企業の上級管理職のクラウドアカウントの乗っ取りに成功したケースも大きく増加したそうです。

不正アクセスを防ぐはずの多要素認証を利用しているのに、なぜAiTM攻撃による被害が拡大しているのでしょうか？　今回は、AiTM攻撃について、仕組みと対策を解説します。

AiTM攻撃の仕組み

ユーザーがシステムやサービスにログインする際、IDとパスワードを利用するのが一般的でした。しかし、この状態だと、パスワードが漏洩したら即不正アクセスのリスクが発生します。そこで、パスワード以外の要素でも認証し、セキュリティを強化するのが多要素認証です。

パスワードやPINコードは「知識要素」となります。スマートフォンやセキュリティトークンなどは「所有要素」、指紋や顔、声紋、虹彩などは「生体要素」となります。

例えば、オンラインバンキングを利用する際、IDとパスワードでログインしたあと、銀行から貸与されているデバイスで認証コードを発行し、入力を求められることがあります。SMSにワンタイムコードが送信されることもあるでしょう。万一、第三者にIDとパスワードが漏洩しても、複数の要素で認証することで不正アクセスできないようにするのです。

AiTM攻撃は、ユーザーとログインしたいウェブサイトの中間に、フィッシング詐欺サイトを構築し、この多要素認証をバケツリレーすることで不正アクセスを実現させます。とは言え、他のネット詐欺のようにウェブサイトを一から構築する必要はありません。標的サイトからの通信をプロキシするサーバーを用意することで、本物と同じ見た目のウェブページを表示できるのです。

次に、メールなどでフィッシングサイトへ誘導します。URLの見た目を偽装することもありますし、ボイスメールの通知を装って添付ファイルを開かせることもあります。この際に使われるURLはフィッシング検知サービスを回避するように工夫されることがあります。アクセスが成功すれば、誘導先の見た目は本物と見分けがつきません。

多要素認証を中継することで正式な認証情報を盗み取る

ユーザーがパスワードを入力すると、プロキシは実際の標的サイトにパスワードを渡します。問題なく認証できると、次に多要素認証の認証画面を表示します。プロキシはその画面をユーザーに見せます。ユーザーは多要素認証を行い、プロキシはその認証情報を標的サイトに渡します。認証が完了すると、セッションクッキーが発行されるので、フィッシングサイトはユーザーを標的サイトにリダイレクトします。

ユーザーからすると、問題なくログインできた、と見えるのですが、サイバー犯罪者の手元には認証済みのクッキーが残ります。このクッキーを使えば、多要素認証による認証プロセスをスキップできます。

正規ユーザーとしてログインできるので、顧客リストや従業員の個人情報、企業の機密データなどを盗むことができます。もちろん、マルウェアを仕込むのも簡単です。

不正アクセスに成功したサイバー犯罪者の多くは、悪用できそうなメールを探します。お金を動かせる経理に関するメールの文面ややり取りしている相手を確定し、BECに利用するのです。その際は、できるだけ高位のエグゼクティブを狙う傾向にあります。

AiTM攻撃が急増している理由とは

AiTM攻撃が急に増えたのは、ダークウェブでAiTMツールを作成するキットが登場されたためです。GmailやDropbox、Facebook、X（旧Twitter）といった定番オンラインサービスへのログインを攻撃するツールをカスタマイズできるサブスクリプション、つまり多要素認証PhaaS（Phishing as a Service）が広まっているのです。

前述の「EvilProxy」はMicrosoft 365やApple、Googleといった複数のオンラインサービスで多要素認証できるAiTMツールで、10日間で150ドルという低価格で利用できます。続けて利用するなら、20日間で250ドル、30日間で150ドルかかります。支払いはチャットサービスのTelegramに誘導されて行います。ちなみに、Googleを攻撃する場合のみ250ドルからと高額になっています。

一般的な商品と同様、チュートリアルや解説ビデオが用意されており、操作画面もわかりやすいGUIを採用しています。定番サイトをクローンしたフィッシングページのライブラリもあるそうです。

冒頭で触れた「W3LL Panel」はオプションツールまで充実しており、大量のフィッシングメールを送るツールやフィッシングURLを生成するツール、そして、不正アクセスしたMicrosoft 365アカウントから重要そうな情報を効率的に収集するツールまで選べるようになっていました。まさに至れり尽くせりで、怖い状況ですね。

FIDO2準拠の生体認証やセキュリティキーであればAiTM攻撃を防げる

マイクロソフトによると、AiTM攻撃による被害は、決して多要素認証の脆弱性ではないとのことです。依然として、多要素認証がIDセキュリティの重要な柱となります。AiTM攻撃を防ぐためには、「FIDO ver2.0」準拠の生体情報認証や物理セキュリティキーによる認証であれば、セッションクッキーは盗まれない、とのことです。

「FIDO ver2.0」はオンライン認証のための業界標準プロトコルです。FIDO認証は公開鍵暗号方式を採用しており、ユーザーは「秘密鍵」を用いた署名をサーバーに送信します。パスワードや生体情報をサーバーに送らないので、途中で盗まれることがないのです。本連載「パスワード入力は無くなるのか？次世代認証技術FIDO2が見据えるパスワードレスの世界」で詳しく紹介しているので、ご一読ください。

Microsoft 365 Defenderは盗まれたセッションクッキーを使ってサインインしようとする試みを検出できます。

加えて、補完としてさらに3つの対策が紹介されています。

１：条件付きアクセスポリシーを有効にする

攻撃者が盗んだセッションクッキーを使う度に評価すれば、効果的なセキュリティ対策となります。FIDO2に準拠したデバイスや信頼できるIPアドレスからのアクセスのみを許可するポリシーを設定することで、盗まれた認証情報を使った攻撃から組織を守れます。

２：高度なフィッシング対策ソリューションに投資する

受信メールや訪問ウェブサイトを常に監視し、悪意のあるコンテンツを検知する高度なフィッシング対策ソリューションであれば、フィッシングキャンペーンで使用される悪意のあるウェブサイトをブロックできます。

３：不審または異常な活動を継続的に監視する

通常とは異なる場所やISP、ユーザーエージェント、アノニマイザーサービスを使ったサインイン試行といった、不審な行動や異常な活動を継続的に監視することも重要です。信頼できないIPアドレスやデバイスからの異常な量のメールアクセスが発生したり、不審なメール振り分け設定が作成されるといった、メールボックスの異常な動作にも注意を払う必要があります。

以上が、被害が拡大しつつあるAiTM攻撃と対策についての解説となります。FIDO2以外に、AiTM攻撃が有効な多要素認証がある限り、しばらくはAiTMの脅威は続くでしょう。情報漏洩やBECの被害は甚大なので、できる限りの対策を立てて自己防衛することが重要です。

著者：ITライター柳谷智宣