多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗

MFA adoption pushes phishing actors to reverse-proxy solutions

2022/02/03 BleepingComputer — オンライン・アカウントへの多要素認証 (MFA) の導入が進むにつれて、フィッシング詐欺師たちは悪質な活動を継続するために、より洗練されたソリューション (特にリバースプロキシ・ツール) を利用するようになっている。COVID-19 の大流行は、人々の働き方を大きく変え、自宅での仕事を可能にし、場合によっては望ましいことを証明した。

それにより、企業のセキュリティ・リスクが高まったが、その多くは、MFA で従業員のアカウントを保護することで軽減できる。インターネット・サービス・プロバイダーである Google でさえ、最近は段階的な自動登録プロセスを経て、すべての Google アカウントに2要素認証 (2FA) の導入を決定した。

MFA では、ユーザーがアカウントにアクセスする際に、パスワードとは別に第2の認証要素を提供しなければならない。この認証要素には、SMS や電子メールで送信されるワンタイム・コード/トークン/固有暗号鍵などがある。このステップが追加されたことで、アカウントの認証情報を盗むだけでは不十分となり、フィッシング行為者にとって実質的な問題となる。

自然な進化

MFA の普及に伴い、フィッシング・アクターは、透過的なリバース・プロキシ・ソリューションを利用するようになり、この需要の高まりをカバーするために、リバース・プロキシを利用したフィッシング・キットが提供されている。

リバース・プロキシとは、ファイアウォール内の Web サーバーと、インターネット・ユーザーとの間に設置されるサーバーのことである。リバース・プロキシは、訪問者のリクエストを適切なサーバーに転送し、その結果のレスポンスを返送する。それにより Web サーバーは、自分自身をインターネット上で直接利用することなく、リクエストに応えることが可能となる。

今日、Proofpoint が発表したレポートによると、人気サイトを模倣した説得力のあるログイン Web ページを作成するための、テンプレートを提供する新しいフィッシング・キットが登場している。これらの新しいキットは、MFA スナッチ・システムを統合しているため、より高度なものとなっている。それにより、脅威アクターは、通常はアカウントを保護するログイン認証情報や、MFA コードを盗むことが可能となる。

下図のように、被害者がフィッシング・ページにログインすると、このキットは MFA を本物のオンライン・サービスに送信し、セッション・クッキーを傍受し、オプションで被害者に転送する。


リバース・プロキシを利用したフィッシング攻撃の仕組み
出典 Proofpoint

この手口により、被害者は実際のサイトにログインでき、また、なんの疑いを持つこともない。その間に、脅威アクターはアカウントにアクセスするために必要な、認証情報とクッキーの双方を盗み出している。

Proofpoint は、リバースプロキシ・システムを採用した、3種類のフィッシング・キットの存在を確認している。1つ目は Modlishka を使用したもの、2つ目は Muraena/Necrobrowser を使用したもの、そして3つ目は Evilginx2 に依存したものである。

Modlishka は、2018年にデモンストレーションとして作成された、まったく洗練されていないものだが、プッシュ通知システムを採用した場合でも、被害者のセッションを収穫することが可能である。

Necrobrowser は 2019年にリリースされ、自動ログイン/パスワード変更/Google Workspace 通知の無効化/メールのダンプ/SSH セッションキーの変更/GitHub からのリポジトリ・ダウンロードなどの、追加機能を提供している。

Evilginx2 は、コンフィグレーションが可能な、フィシュレットという独自のシステムに依存し、それにより脅威アクターは好きなサイトを標的にできる。このキットには、いくつかのプリ・インストールされたフィシュレットも用意されているため、すぐに使い始めることが可能だ。

セキュリティの盲点

これらのツールの存在と、その影響についてはよく知られているが、問題としてはほとんど解決されていない。また、より多くのフィッシング・アクターが、これらのツールを使用するようになり、MFA の安全性が低下している。

この問題に対処する方法の1つは、これらの攻撃に使用される中間者ページを特定することだ。しかし、最近の調査結果によると、常にブロック・リストに登録されているのは、そのうちの約半分に過ぎない。リバースプロキシ攻撃に使用される、ドメインや IP アドレスは常に更新されるため、ブロックリストの有効性が低下している。なぜなら、そのほとんどが 24時間〜72時間で更新されるからだ。

そのため、この問題に対処できる唯一の方法は、クライアント側の TLS フィンガープリントを追加することだ。それにより、MITM リクエストの識別とフィルタリングの強化が可能となる。

リバースプロキシ・キットを利用する中間者攻撃で、多要素認証 (MFA) を突破する脅威アクターが出てきているとのことです。この種のキットが、ダークウェブで3種類も売られているとのことなので、実際にニーズが有るのでしょう。要注意です。リバースプロキシというキーワードが登場するのは、2021年10月4日の「カメレオンと呼ばれる新たな高度持続性脅威:日本を含む国々の重要インフラを狙っている」であり、「Golang で書かれたパブリック・ユーティリティー FRP (Fast Reverse Proxy) が使用され、感染したホストは攻撃者により制御されてしまった」と記述されていました。よろしければ、ご参照ください。

%d bloggers like this: