多要素認証を回避する中間者攻撃フィッシングが急増

　米Microsoftは13日(現地時間)、プロキシとして振る舞うことで2段階認証を回避するオープンソースの中間者攻撃(AiTM)フィッシングキット「DEV-1101」が脅威をふるっているとし、警鐘を促している。

　DEV-1101はNodeJSで作成されており、PHPリバースプロキシ、自動セットアップ、アンチボットデータベースによる検出回避、Telegramボットによるフィッシング活動の管理、さまざまなサービスを模倣した既製のフィッシングページを備えているのが特徴だ。

　フィッシングは一般的な電子メールから始まり、メール内のリンクをクリックすると特定のドメインにリダイレクトされ、CAPTCHAがあったとしても回避される。そして攻撃者が制御するホストから、攻撃者のリバースプロキシ設定を介してランディングページにたどり着く。

　ここで、AiTMキットがユーザーとサインインしようとしているサービスの間のプロキシとして機能しているため、ユーザーがIDとパスワードなどを入力してサインインすると、セッションのCookieがキャプチャされてしまう。そのため、盗んだCookieと資格情報を使用すれば多要素認証を回避できる。

　Microsoftは、条件付きアクセスポリシーの有効化、継続的なアクセス評価の実装、受信メールや訪問Webサイトの監視/スキャンによる高度なフィッシング対策ソリューションの監視、不審や異常なアクティビティの監視などより、影響を軽減できるとしている。

フィッシングメールの例

CAPTCHAの回避ページ

フィッシングのランディングページの例