Active Directory FS のログイン・ページを模倣:最新のフィッシング・キャンペーンが検出される

Hackers Using Fake Microsoft ADFS Login Pages to Steal Credentials

2025/02/05 HackRead — Microsoft の Active Directory Federation Services (ADFS) の脆弱性を悪用する、巧妙なフィッシング・キャンペーンにより、ユーザー・アカウントを侵害され、多要素認証 (MFA) がバイパスされていると、Abnormal Security の調査が明らかにしている。

この攻撃者は、ソーシャル・エンジニアリングと、技術的な操作を組み合わせているという。正規の通知を模倣したフィッシング・メールにより、偽の ADFS ログイン・ページへと被害者を誘導している。これらのメールは、緊急トーンの使用や、想定される更新やポリシー変更の警告に加えて、正規のブランド/ロゴ/連絡先情報を取り込むことで、本物に見せかけているという。

また、URL の難読化と短縮リンクにより、悪意のディスティネーションが隠蔽されている。この攻撃者は、プッシュ通知のプロンプトのカスタマイズや、Microsoft Authenticator/Duo Security/SMS 検証などのメカニズムを悪用し、ターゲット組織の特定の MFA 設定に合わせてフィッシング・ページをカスタマイズしている。

Hackers Using Fake Microsoft ADFS Login Pages to Steal Credentials
One of the phishing pages was sent to a targeted company (Via Abnormal Security)

そのフィッシング・ランディング・ページは、ユーザー組織の ADFS ポータルを複製するために、ロゴやデザイン要素を動的に抽出し、説得力のある偽物を作成している。クライアント側の検証が存在する場合もあるが、基本的に全てのユーザー名とパスワードの組み合わせが受け入れられ、また、組織のシステムに対する資格情報は検証されない。

次のステップでは、ユーザーの2要素認証が取得される。このフィッシング・テンプレートは、認証アプリ/SMS メッセージ/プッシュ通知からのコードといった、各種の MFA 要素を収集するよう設計されている。それらの情報は、盗み出された資格情報と組み合わされ、攻撃者へと中継される。

被害者は一連の情報を送信した後に、本物の ADFS ログインページへとリダイレクトされ、ログインが成功したという錯覚を植え付けられ、この攻撃チェーンは完了する。

その一方で攻撃者は、盗み出した資格情報と MFA の詳細を悪用して、攻撃者はアカウント乗っ取り (ATO:account takeover) を進めるが、VPN を使用して自身のロケーションを隠すことが多いとされる。侵害後の活動として挙げられるのは、内部への偵察や、存在を隠すためのメール・フィルター・ルールの設定、そして、ラテラル・フィッシング攻撃の準備と開始などである。

侵害済のアカウントから送信されるラテラル・フィッシング・メールは、組織内で確立された信頼関係を悪用するものだ。多くのケースにおいて、これらのメールは、正当なコミュニケーション・パターンを模倣し、同僚や関係者をターゲットにしていく。また、メール・フィルター・ルールには、偽の名前と難読化されたキーワード (Phish に代えて Hish など) などが取り込まれており、攻撃者が検出されないようになっている。

Abnormal Security のレポートには、「このアプローチは、微妙な心理的戦術を人間の脆弱性を悪用し、偽りの正当性の感覚を植え付ける」と記されている。

Hackers Using Fake Microsoft ADFS Login Pages to Steal Credentials
A fake Microsoft ADFS used in the campaign (Via Abnormal Security)

Abnormal の調査により判明したことは、このキャンペーンが各分野の 150 を超える組織をターゲットにしていることだ。最大の攻撃対象は教育分野の 50% であり、それに続くのは、医療 14.8%/政府 12.5%/テクノロジー 6.3%/交通 3.4% である。地理的に見ると、攻撃が集中するのは米国であり、その他には、カナダ/オーストラリア/ヨーロッパでもインシデントが報告されている。

このレポートが示唆するのは、Microsoft の最新の ID プラットフォームである Entra へと、数多くのユーザー組織が切り替えていないという現実が、攻撃者に悪用されていることである。特に、最新テクノロジーの採用が遅い分野で、ADFS への依存が多く見られている。この事実から得られる教訓は、最新のソリューションへの移行を優先し、多層セキュリティ・アプローチを採用する必要性である。

KnowBe4 の Data-Driven Defence Evangelist である Roger Grimes は、「このキャンペーンの巧妙さを示唆する、偽の ADFS ログイン・ページについて聞いたのは、今回が初めてのことだ。私は、36年間にわたりサイバー・セキュリティの専門家として活動し、MFA ハッキングなどに関する 15冊の書籍と、1,500本以上の記事を執筆してきた。それでも、偽のADFS ログイン・ページは初めてのことだが、以前から ADFS は MFA 認証のバイパスに関連しており、ハッキング・シーンでは新しいものではない」と、HackRead に対して述べている。

彼は、「すべてのユーザーは、フィッシング耐性のある MFA を使用する必要がある。しかし、残念なことに、Microsoft Authenticator/Google Authenticator/Duo やプッシュベースの MFA、そして OTP/SMSベースの MFA などの、人気の MFA ソリューションの大半はフィッシングに対して脆弱であり、ここで報告されているタイプの攻撃の対象となる」と指摘している。

Microsoft Active Directory FS のログイン・ページを模倣したフィッシング・キャンペーンが展開されています。ご利用のチームは、ご注意ください。攻撃者は巧妙に企業のブランドを偽装し、認証情報や MFA コードを窃取します。このような高度なフィッシング手法に警戒し、ログイン時にはURLや証明書を確認する習慣を持つことが求められます。よろしければ、Microsoft + Phishing で検索も、ご参照ください。