ビッシングとリアルタイム・フィッシングを組み合わせて MFA を突破:Okta Threat Intelligence が警告

Okta Flags Customized, Reactive Vishing Attacks Which Bypass MFA

2026/01/26 InfoSecurity — リアルタイムで内容を変更するフィッシング・サイトと、ビッシング攻撃を組み合わせるサイバー犯罪者が、被害者に対してソーシャル・エンジニアリングを仕掛け、多要素認証 (MFA) による防御を突破している。1月22日に Okta Threat Intelligence が発出したアラートは、ビッシング・キャンペーンにおけるフィッシング・キットの利用が拡大している実態を示すものだ。それらのサイバー犯罪者は、企業の Google/Microsoft/Okta アカウントならびに各種暗号資産サービスの、アカウント・ログイン情報へのアクセスを狙っている。

 Okta が特定したフィッシング・キットは、サービス・プロバイダーを偽装する攻撃者が、カスタマイズ可能なフィッシング・サイトを構築して認証情報を窃取するものだ。被害者が誘導されるサイトは、正規サイトに見えるよう、リアルタイムで調整/適応が可能となっている。 

Okta のブログ投稿では「このリアルタイムなセッション・オーケストレーションは、ソーシャル・エンジニアリング攻撃者に対して、新たなレベルの制御性と可視性を提供する」と警告している。

通常、これらのキャンペーンは、標的に対する広範かつ徹底的な事前調査を、脅威アクターが実施するところから始まる。具体的には、この事前調査により、企業内のユーザー名/利用するアプリケーションとサービス/IT サポート対応に使用される電話番号などが把握されていく。 この情報を基に、攻撃者は標的とするサービスに酷似したカスタマイズ済みのフィッシング・ページを用意し、その後に、当該企業の IT サポート窓口の正規電話番号を詐称したビッシング・コールを実施する。

IT サポートを装い認証情報を窃取

電話により IT サポート担当者を装う攻撃者は、ソーシャル・エンジニアリングを用いて、フィッシング・ページへとユーザーを誘導する。そこで入力された、ユーザー名とパスワードは、攻撃者が利用する Telegram チャネルへ送信される。その後に、攻撃者は窃取した認証情報を用いて、標的ユーザーの正規ログイン・ページへのアクセスを試みる。

この段階で、標的が使用している MFA や認証ソリューションを確認し、それに応じてキャンペーン内容や攻撃手法を柔軟に変化させていく。それらのフィッシング・キットは、組織が使用している MFA ツールの通知画面を模倣する、偽の画面を迅速に生成できるようになっているため、被害者が予期している表示内容と一致する。

この攻撃者は、通話を継続したまま、標的に対して MFA プッシュ通知を確認/承認するよう促す。それに被害者が応じると、意図せずに MFA 防御が突破され、攻撃者にアカウントの完全な制御権を奪われてしまう。Okta Threat Intelligence の脅威研究者である Moussa Diallo は、 「これらのキットを使用すると、電話越しに標的ユーザーとやり取りしながら、認証情報フィッシング・ページ上でのユーザー操作に合わせて、認証フローを制御できてしまう」と述べている。

Moussa Diallo は「攻撃者は、通話中に与える指示と完全に同期する形で、被害者のブラウザに表示されるページを制御できる。この同期を利用することで、フィッシング耐性を備えていない、あらゆる形式の MFA の突破が可能となる」と説明している。 

ユーザー組織にとって必要なことは、予期しない電話連絡に対する警戒の周知であり、それにより、従業員が音声ベースのフィッシング攻撃の被害に遭うことを防ぐべきである。特に、組織内からの連絡を装い、緊急対応を求めるような電話には、注意が必要である。

企業の IT サポートを装う電話 (ビッシング) と、被害者の操作に合わせてリアルタイムに内容が変化する高度なフィッシング・キットを組み合わせて、多要素認証 (MFA) を突破する攻撃が急増しています。Okta Threat Intelligence が警告するこの手法は、従来の静的な偽サイトとは異なり、攻撃者がブラウザに表示される内容を電話越しにコントロールできる点が極めて危険です。この攻撃は、単にパスワードを盗むだけではなく、被害者の心理とブラウザ画面を完全に同期させることで進行します。

  • 徹底的な事前調査:攻撃者はあらかじめ、ターゲット企業のユーザー名、使用しているアプリ、本物の IT サポートの電話番号などを調査します。
  • なりすまし電話(ビッシング): 本物のサポート窓口を装う電話番号から連絡し、システムの問題などを理由に、巧妙に作られたカスタマイズ済みのフィッシング・ページへと誘導します。
  • セッションの制御:被害者がユーザー名を入力すると、その情報は即座にTelegram等を通じて攻撃者に送られます。それを参照する攻撃者は、被害者が使用している Microsoft/Google/Okta などの MFA を識別し、被害者の画面を一致するサービス専用の偽 MFA 画面にリアルタイムで切り替えます。

このような新たな詐欺の手法が流行っているようですので、ご注意ください。よろしければ、Vishing での検索結果も、ご参照ください。