最新のフィッシング手法とその対策について解説します。
ニューヨーク州立大学ストーニーブルック校(Stony Brook University)の専門家と民間企業の研究者は長年を渡り、従来より巧妙になった1000以上ものフィッシングキットを発見してきました。これらのフィッシングキットは、中間者攻撃(man-in-the-middle、MITM)とリバースプロキシ(reverse web proxies)を利用することで、ほぼすべてのウェブサイトの多要素認証(MFA)を回避できてしまいます。このフィッシングキットはどのように発見され、どのような仕組みなのでしょうか。また、多要素認証を今後も安心して使えるためにとれる対策について解説していきます。
はじめに、多要素認証の仕組みについてご説明します。多要素認証は一般的に、ユーザーネームとパスワードに加えて、ワンタイムパスワード(1度だけ使えるパスワード)を使用します。このパスワードは認証アプリなどを通して受け取ることができるため、アカウントの保護をより強化することができます。
フィッシングキットは、攻撃者が標的のパソコン上のクッキーを不正に取得したり、攻撃者にワンタイムパスワードが送信されるよう標的を騙したりします。さらにこれらのキットは、あらゆる「作業」を自動化します。例えばキットを使うと、公式ウェブサイトのコピーを生成して、標的に表示することが簡単にできます。また、クローキングなどの手法を用いて偽ウェブサイトの検知を回避することもできます。そして、リバースプロキシサーバを使用し、被害者と標的のウェブサーバー間のリクエストとレスポンスを転送すると同時に、認証情報とセッションクッキーを抽出することができます。
次に、リバースプロキシについてご説明します。リバースプロキシは、ウェブサーバーのセキュリティの簡素化やトラフィック軽減など、さまざまな(正規の)用途で活用されており、特にオープンソース版のSquidやNginxが人気です。
一方、リバースプロキシは悪用される可能性もあります。その代表例として、ハッカーAdrian Lamoが、リバースプロキシを利用して複数の商業用サーバーに不正アクセスした事件を知っている方もいるのではないでしょうか。ついでに言うと、Adrian Lamoは、アメリカ政府の内部文書をWikileaksに漏洩したとしてChelsea Manningを通報した人物でもあります。
上述した研究グループは、3つのフィッシングキットの計13バージョンを分析し、これらのキットにアクセスしたトラフィックを追跡しました。2020年3月から1年間、これらのトラフィックをPHOCAと呼ばれるプログラムを通したところ、1220ものウェブサイトが当該フィッシングキットを使用していることがわかりました。PHOCAはGitHubに公開されており、ほかの研究者も利用できます。PHOCAの仕組みは以下をご覧ください。
出典:Catching Transparent Phish: Analyzing and Detecting MITM Phishing Toolkits
フィッシングキットが広く使われている要因として、ほとんどが無料で、簡単に使えることがあげられます。設定と削除がすぐにできるため、クラウドベースのホスティングインフラストラクチャに導入しやすいのも人気の理由として考えられます。
発見されたドメインの半数は、攻撃開始の一週間前に登録されたばかりで、フィッシングツールの3分の1は、正規ドメインと共通のIPアドレスを持っていました。そのため、これらは検知が困難になっており、見つかったドメインの半数以下と、関連IPアドレスの5分の1以下だけが、フィッシング・ブラックリストに記載されていることがわかりました。つまり、潜在的な攻撃を阻止するためには、より優れた検知アルゴリズムが必要なのです。
研究者によると、MITMフィッシングキットのリアルタイムなトラフィック・プロキシは、強力なフィッシング攻撃を可能にする一方、従来のフィッシング手法とは異なり、攻撃者の追跡も可能になります。
研究者は、ウェブサイトはより強固な対策をとるべきという見解も示しています。メールなど、別の安全な通信チャネルを介してログインURLを送付する、などの手法を導入しても良いかもしれません。
最後に、ウェブサイトはFIDO Universal Two Factorプロトコルを優先的な多要素認証として推奨するべきです。これにより、最終的にMITM攻撃やリバースプロキシ攻撃に打ち勝つことができます。
この記事は、2022年1月5日に公開されたNew ways to phish found by academic researchersの抄訳です。
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap プライバシーに関する方針
