「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた 多要素認証(MFA)の抜け道をふさぐ【前編】

Microsoftのセキュリティ研究チームは、「Microsoft 365」ユーザーが標的となったフィッシング攻撃「AiTM」について調査結果を公表。攻撃はどのように展開し、何が悪用されたのか。

2022年09月02日 05時00分 公開
[Alex ScroxtonTechTarget]

 2022年7月、Microsoftのセキュリティ研究チームは、フィッシング攻撃「Adversary-in-the-Middle」(AiTM)についての調査結果を公表した。同チームによると、2021年9月以降、1万社を超える企業がこの攻撃の標的となっている。

 本稿は、Microsoftのサブスクリプション型オフィススイート「Microsoft 365」を標的とした、AiTMの一連の攻撃を解説する。

AiTMは誰もが使う“あの基本機能”を悪用

 Microsoftのセキュリティ研究チームによると、AiTMは以下のような特徴を持つ。

  • 多要素認証(MFA)といった認証プロセスを迂回(うかい)する
  • フィッシングサイトを利用してパスワードを盗み出す
  • セッションハイジャック(利用者を識別するための情報であるセッションIDを盗取して、本人になりすまして通信すること)を実行する

 Microsoft 365を標的にしたAiTMにおいて、攻撃者が最初に仕掛けたわなは、ボイスメールメッセージの受信を被害者に通知する電子メールだった。被害者がボイスメールを開封した後の一連の攻撃は、ほぼ全てのWebサービスに組み込まれている、ある機能を悪用していた。その機能とは、ユーザー認証後に用いる「セッションCookie」だ。セッションCookieは、ユーザーがWebサービスで認証済みであることを証明し、再度認証しなくてもセッションを続けられるようにする。

 攻撃者は、情報を盗みたいWebサービスと被害者の間にプロキシサーバを配置し、被害者とサービス間のHTTPのパケットを受け取った。これにより攻撃者は、被害者からユーザー認証のための資格情報を、Webサービスからは正規のセッションCookieを盗み出した。

 今回の調査によると、攻撃ではMicrosoftのID・アクセス管理システム「Azure Active Directory」のサインインページがプロキシサーバを配置する対象となったが、他のWebサービスでもこの手法は機能する。

 攻撃者は資格情報とセッションCookieの両方を盗み出し、それらを自身のブラウザに適用することで、MFAが有効になっていたとしても認証プロセスをスキップできる。一方、それに気付かない被害者は、その状態のまま業務を継続してしまう。

 この手口は攻撃者にとって便利なものだ。ユーザーが信頼するWebサービスのURL部分のみを変更して偽のWebサービスを被害者に提示するため、通常のフィッシング攻撃のようにフィッシングサイト自体を作成する必要がないからだ。

 攻撃者は、盗み出した資格情報とセッションCookieを使って被害者のメールボックスにアクセスし、入手した個人情報を悪用してビジネスメール詐欺(BEC)を仕掛けている。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news002.jpg

ロシアのbotファームがXを標的に虚偽情報を拡散 どうしてこうなった?
ロシアによる生成AIとソーシャルメディアを使った世論操作が活発化している。標的とされ...

news075.png

Z世代の告白手段は「直接」が大多数 理由は?
好きな人に思いを伝える手段として最も多く選ばれるのは「直接」。理由として多くの人は...

news100.jpg

日本はなぜ「世界の旅行者が再訪したい国・地域」のトップになったのか 5つの視点で理由を解き明かす
電通は独自調査で、日本が「観光目的で再訪したい国・地域」のトップとなった要因を「期...