多要素認証すら無意味に GoogleもMicrosoftも無力な新型フィッシングの正体
OktaはGoogleやMicrosoftの多要素認証を回避する新たなフィッシング攻撃基盤を確認したと発表した。同基盤の攻撃手法やユーザー側の対策を整理する。
多要素認証(MFA)はパスワードよりも強度が高い認証システムだが、現在では必ずしも安全ではなくなっている。
認証システムなどアイデンティティー管理サービスを提供するOktaが発見した最新の攻撃は、GoogleやMicrosoftの多要素認証を突破できる。その仕組みと対処方法を紹介しよう。
もうMFAだけでは守れない 次世代フィッシングの手口とは
Oktaが発見したのは多要素認証を突破するPhaaS(Phishing as a Service)型の攻撃基盤だ(注1)。2025年9月11日(米国時間)に発表した。
この攻撃基盤「VoidProxy」は多要素認証(MFA)をはじめとした従来型の防御メカニズムを回避でき、GoogleとMicrosoftのアカウントを標的にしているという。
認証の通常のフローを回避するために正規のユーザーと正規のWebサイトとの間に攻撃者が割り込む中間者攻撃の手法を用いる。
Oktaの研究者によると、この攻撃に関連する事象が初めて確認されたのは2025年1月だが、ダークWebでは2024年8月にすでに VoidProxyの広告が出回っていたようだ。攻撃は2025年9月時点でも続いており、価値の高いアカウントが標的になっているという。
「複数の組織で疑いの余地がなくアカウントの乗っ取りが発生していることを観測した」。Oktaの研究部門は『Cybersecurity Dive』への回答メールでこう記した。続けて、「このことから、VoidProxyがMicrosoftやGoogleのサーバに対してID連携の仕組みを利用した認証を受けていないユーザー(非フェデレーションユーザー)を直接プロキシする仕組みを利用していることが分かる。両社は多数のアカウントの乗っ取り事例を観測していると推測される」と仕組みを説明した。
VoidProxyを使えば、攻撃者は非フェデレーションユーザーを支配下のサーバを経由させることで、セッショントークンやMFAの認証情報を取得できる。この結果、SMSで届く認証コードや認証アプリが生成するワンタイムパスワード(OTP)を使ったMFAであっても突破できてしまう。
アカウントの信頼性も悪用
攻撃初期の段階では、犯罪者はメールマーケティングやメールマーケティング・オートメーションのプラットフォームを利用していたユーザーを侵害して、そこからフィッシングメールを送っていた。Constant ContactやActive Campaign、NotifyVisitorsといったサービスだ。このようなサービスのアカウントの信頼性を利用することで、メールのスパムフィルターを回避できるとOktaは説明する。
攻撃者はこの仕組みを利用することで、ビジネスメール詐欺(BEC)やシステム侵入後の他のシステムやアカウントへの移動、標的企業からのデータの盗み出しが可能になる。
VoidProxyを使った攻撃の一部は、Oktaのパスワードレス認証機能「Okta FastPass」で阻止できたという。Okta FastPassに登録したユーザーは、VoidProxyのプロキシ構造を通じて認証情報を盗まれたり、不正にサインインされたりせず、Oktaからアカウントに対する攻撃が検知されたという通知を受けることができた。
Oktaの研究部門はVoidProxyに関する調査結果をMicrosoftとGoogleに通知するとともに、SaaS事業者と情報を共有して、顧客にも注意を喚起した。
VoidProxyについて、「攻撃者が特定組織を狙ったフィッシング攻撃を展開する際に必要な技術的ハードルを引き下げるものだ」と指摘する研究者もいる。
「VoidProxyをはじめとしたこのような新種のフィッシング詐欺は定期的に生まれてくる。われわれはユーザーをこの種の攻撃から守るために耐久性のある防御策を設計している」。Googleの広報担当者はCybersecurity Diveにこう述べた。
GoogleなどのユーザーがVoidProxyから自分のアカウントを守るためにできることは幾つかある。ドメインスプーフィング(ドメインのなりすまし)やフィッシングリンク(攻撃者が作成した偽のURL)、侵害された送信元からのメールへの対策だ。さらに、Oktaは、パスワードを使わない認証手法「パスキー」が強力なフィッシング対策になると推奨した。
VoidProxyに関する情報について、Microsoftの広報担当者は具体的なコメントを控えた一方、フィッシング攻撃への一般的な対応策を列挙したガイドラインを紹介するWebサイトのリンク(注2)を示した。
関連記事
多要素認証はこうして突破される 5大攻撃手法と防御策
サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。
Teamsの会話も丸見えに? Microsoftも警告、多要素認証を突破する見えない侵入者
Microsoftはロシア政府から支援を受けている未知の攻撃者グループを発見した。攻撃手法は既知のものを組み合わせたものに過ぎないが、多要素認証を突破して、ユーザーのメールなどを盗み出すことに成功している。
Google、AWS、Microsoftが顧客にこぞって義務付ける「あるセキュリティ対策」とは?
クラウドサービスを攻撃するサイバー攻撃に対抗するにはどうすればよいのだろうか。いろいろな対策が考えられる。基本は認証回りを固めることだろう。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- Microsoftが隠そうとした、Copilotの“不審な挙動”とは?:848th Lap
- 超進化版RPAか、それともまだ使えない? ChatGPT「エージェントモード」の実力検証
- NotebookLMで議事録作成を95%削減、秋田、札幌市の「Google Workspace」活用の秘訣
- コストを抑えた「脱VPN」対策 ZTNAやSASE以外の選択肢とは
- 多要素認証すら無意味に GoogleもMicrosoftも無力な新型フィッシングの正体
- ChatGPT Proは3万円の価値があるのか? PlusとProを実務目線で比較検証してみた
- 効率化に役立つはずのワークフローツールが現場を疲弊させる理由【2025年調査】
- 「記録業務疲れ」からどう解放された? 非エンジニアが主導する介護DXの全貌
- Microsoft 365 Copilotを“日常使いのAI”に変える、「エージェント」とは?
- 休職者の穴を埋めるストレス
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。