検索
特集

多要素認証すら無意味に GoogleもMicrosoftも無力な新型フィッシングの正体

OktaはGoogleやMicrosoftの多要素認証を回避する新たなフィッシング攻撃基盤を確認したと発表した。同基盤の攻撃手法やユーザー側の対策を整理する。

[David Jones,Cybersecurity Dive] PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 多要素認証(MFA)はパスワードよりも強度が高い認証システムだが、現在では必ずしも安全ではなくなっている。

 認証システムなどアイデンティティー管理サービスを提供するOktaが発見した最新の攻撃は、GoogleやMicrosoftの多要素認証を突破できる。その仕組みと対処方法を紹介しよう。

もうMFAだけでは守れない 次世代フィッシングの手口とは

 Oktaが発見したのは多要素認証を突破するPhaaS(Phishing as a Service)型の攻撃基盤だ(注1)。2025年9月11日(米国時間)に発表した。

 この攻撃基盤「VoidProxy」は多要素認証(MFA)をはじめとした従来型の防御メカニズムを回避でき、GoogleとMicrosoftのアカウントを標的にしているという。

 認証の通常のフローを回避するために正規のユーザーと正規のWebサイトとの間に攻撃者が割り込む中間者攻撃の手法を用いる。

 Oktaの研究者によると、この攻撃に関連する事象が初めて確認されたのは2025年1月だが、ダークWebでは2024年8月にすでに VoidProxyの広告が出回っていたようだ。攻撃は2025年9月時点でも続いており、価値の高いアカウントが標的になっているという。

 「複数の組織で疑いの余地がなくアカウントの乗っ取りが発生していることを観測した」。Oktaの研究部門は『Cybersecurity Dive』への回答メールでこう記した。続けて、「このことから、VoidProxyがMicrosoftやGoogleのサーバに対してID連携の仕組みを利用した認証を受けていないユーザー(非フェデレーションユーザー)を直接プロキシする仕組みを利用していることが分かる。両社は多数のアカウントの乗っ取り事例を観測していると推測される」と仕組みを説明した。

 VoidProxyを使えば、攻撃者は非フェデレーションユーザーを支配下のサーバを経由させることで、セッショントークンやMFAの認証情報を取得できる。この結果、SMSで届く認証コードや認証アプリが生成するワンタイムパスワード(OTP)を使ったMFAであっても突破できてしまう。

アカウントの信頼性も悪用

 攻撃初期の段階では、犯罪者はメールマーケティングやメールマーケティング・オートメーションのプラットフォームを利用していたユーザーを侵害して、そこからフィッシングメールを送っていた。Constant ContactやActive Campaign、NotifyVisitorsといったサービスだ。このようなサービスのアカウントの信頼性を利用することで、メールのスパムフィルターを回避できるとOktaは説明する。

 攻撃者はこの仕組みを利用することで、ビジネスメール詐欺(BEC)やシステム侵入後の他のシステムやアカウントへの移動、標的企業からのデータの盗み出しが可能になる。

 VoidProxyを使った攻撃の一部は、Oktaのパスワードレス認証機能「Okta FastPass」で阻止できたという。Okta FastPassに登録したユーザーは、VoidProxyのプロキシ構造を通じて認証情報を盗まれたり、不正にサインインされたりせず、Oktaからアカウントに対する攻撃が検知されたという通知を受けることができた。

 Oktaの研究部門はVoidProxyに関する調査結果をMicrosoftとGoogleに通知するとともに、SaaS事業者と情報を共有して、顧客にも注意を喚起した。

 VoidProxyについて、「攻撃者が特定組織を狙ったフィッシング攻撃を展開する際に必要な技術的ハードルを引き下げるものだ」と指摘する研究者もいる。

 「VoidProxyをはじめとしたこのような新種のフィッシング詐欺は定期的に生まれてくる。われわれはユーザーをこの種の攻撃から守るために耐久性のある防御策を設計している」。Googleの広報担当者はCybersecurity Diveにこう述べた。

 GoogleなどのユーザーがVoidProxyから自分のアカウントを守るためにできることは幾つかある。ドメインスプーフィング(ドメインのなりすまし)やフィッシングリンク(攻撃者が作成した偽のURL)、侵害された送信元からのメールへの対策だ。さらに、Oktaは、パスワードを使わない認証手法「パスキー」が強力なフィッシング対策になると推奨した。

 VoidProxyに関する情報について、Microsoftの広報担当者は具体的なコメントを控えた一方、フィッシング攻撃への一般的な対応策を列挙したガイドラインを紹介するWebサイトのリンク(注2)を示した。

(注1)Uncloaking VoidProxy: a Novel and Evasive Phishing-as-a-Service Framework(Okta)
(注2)How to protect against phishing attacks(Microsoft)

© Industry Dive. All rights reserved.

ページトップに戻る