Astaroth という Phishing Kit:Gmail/Yahoo/Office 365 などの 2FA を容易に突破

Astaroth 2FA Phishing Kit Targets Gmail, Yahoo, Office 365, and Third-Party Logins

2025/02/14 gbhackers — Astaroth という新たな Phishing-Kit により、2FA メカニズムが回避されることが判明し、サイバー・セキュリティの分野における重大な脅威として浮上してきた。2025年1月の時点で、サイバー犯罪ネットワークに登場してきた Astaroth は、セッション・ハイジャックやリアルタイムで認証情報の傍受といった高度な手法を用いて、Gmail/Yahoo/Office 365 だけではなく、他のサードパーティ・ログインなどのプラットフォームのアカウントを侵害する。

2FA を回避する高度な手法

静的な偽のログイン・ページにより認証情報を収集する、従来からのフィッシング・キットとは異なり、Astaroth は evilginx スタイルのリバース・プロキシを使用し、認証データをリアルタイムかつ動的に傍受するという。

このキットは中間者 (MiTM) として動作するものであり、SSL 証明書を備えた正規のログイン・ページをミラーリングし、被害者がセキュリティ警告を認識しないように仕向ける。このような成りすましページで、ユーザーが認証情報と 2FA トークンを入力すると、そのデータは Astaroth により傍受され、その後に正規のサーバーへと転送される。

SlashNext によると、このフィッシング・キットは、ユーザー名/パスワードだけではなく、セッション・クッキーと 2FA トークン (SMS コードやアプリ生成コードなど) も窃取するという。それらのセッション・クッキーをブラウザーに挿入する攻撃者は、認証を完全に回避し、追加の認証情報を必要とすることなく、被害者に成りすませるという。

以下の Web パネルまたは Telegram 通知によるリアルタイム・アラートにより、攻撃者はデータをキャプチャした後に、ただちに行動できるという。

Astaroth
The attacker’s web panel that stores session information
Astaroth の主要な機能と展開の方法

サイバー犯罪フォーラムと Telegram チャネルで、Astaroth は $2,000 で販売されており、6 か月間のアップデートとサポートが提供されている。

以下のような機能が提供される:

  • リアルタイムでの認証情報キャプチャ:ユーザー名/パスワード/2FA トークン/セッション・クッキーを傍受する。
  • SSL 認定のフィッシング・ドメイン: セキュリティ警告が、被害者に対して表示されないようにする。
  • 防弾ホスティング:規制監督が行き届かない管轄区域で運用することで、法執行機関による削除の試みを阻止する。
  • バイパス手法:reCAPTCHA および BotGuard による保護をによる回避する方法が含まれる。

このフィッシング・キットの販売方式は透明性を伴うものであり、購入前に機能を実証するためのテスト環境も提供される。このオープン性が、経験豊富なサイバー犯罪者と初心者の双方を惹きつけている。

Astaroth の巧妙さが浮き彫りにするのは、フィッシング攻撃に対する防御の課題が、今後も増え続けるという状況である。堅牢なセキュリティ・レイヤーと見なされている、2FA メカニズムをターゲットにすることで、従来の防御を無効化している。

認証されたセッションをリアルタイムでハイジャックする、このキットの機能は、個人と組織に深刻なリスクをもたらす。専門家たちが強調するのは、サイバー・セキュリティ対策の強化の必要性である。Web/Mail/Mobile 全体での、リアルタイムな脅威の検出が重要となる。

それに加えて、フィッシングの試みを認識できるよう、ユーザーを教育することも重要である。たとえば、メール内の疑わしいリンクをクリックせず、その代わりに公式 Web サイトに直接アクセスし、アカウントのアクティビティを確認する必要がある。

Astaroth などのフィッシング・キットが、洗練され使い易くなるにつれて、サイバー犯罪者たちが効果的な攻撃を実行するための障壁が、きわめて低いものに置き換わっていく。したがって、進化する脅威のリスクを軽減するための、プロアクティブなセキュリティ戦略の採用が重要になっていく。

このブログでは初登場の Astaroth Phishing Kit ですが、2FA をバイパスするという恐ろしいツールです。ユーザー側のセキュリティ意識向上と、企業の対策強化が、今後ますます求められるでしょう。関連トピックとして、2025/02/02 に「“.gov” は信用できない?数多くのフィッシング・キャンペーンにおける悪用の実態」という記事をポストしています。フィッシング・キャンペーンで .gov TLD (top-level domains) の悪用が増えているという、興味深い記事です。よろしければ、Phishing で検索と併せて、ご参照下さい。