「Okta」を使うな――攻撃者による“偽招待”の危険:重要になる“フィッシング耐性のある認証”
Slackを装う招待で「Okta FastPass」の利用を禁じる手口が確認された。フィッシング耐性のある認証をポリシーで強制することの重要性が浮き彫りになった。
攻撃者はユーザーを弱い認証手段へ誘導し、セキュリティの境界をすり抜けようとしている。明らかになったのは、ビジネスチャットツール「Slack」を装った招待メッセージで、Oktaのパスワードレス認証機能「Okta FastPass」の利用を明確に禁じるという、露骨な回避指示だ。
Okta FastPassは、Oktaの認証アプリケーション「Okta Verify」に含まれる機能だ。生体認証やデバイスベースのセキュリティなどによるパスワードレス認証を提供し、保護されたリソースへのアクセスを可能にする。
「FastPassを使うな」――攻撃者の新たな誘導手法
ブレット・ウィンターフォード氏はOktaの脅威インテリジェンス担当VPだ。2025年8月5日、ウィンターフォード氏は、未公開の脅威アクターによる新たなソーシャルエンジニアリングキャンペーンをどのように同社が把握したかを明らかにした。攻撃者は標的に対し「Okta FastPassは使用せず、通常通りサインインしてほしい」と指示していたという。今回の攻撃にはSlackが悪用されていた。
送られてきたメッセージは「Happy Thursday & Congratulations」(木曜日おめでとう、そしてお祝いします)というお祝いムードの見出しで始まっている。攻撃者は企業のCEOになりすまして、標的を「exclusive new Slack workspace」(特別な新しいSlackワークスペース)に招待した。リンク先でOktaアカウントを接続し、セットアップを完了するよう促す典型的なフィッシングの手口だ。攻撃者はさらに、新しいSlack連携ではOkta FastPassに幾つかの問題があると偽り、FastPassを使わずにリンク先で直接パスワードを入力するよう誘導した。
招待リンクの遷移先は「Evilginx」と呼ばれるフィッシング用フレームワークを利用したページだった。Evilginxは、正規のユーザーと正規のWebサイトとの間に攻撃者が割り込む「AiTM」(中間者攻撃)の手法として、「透過型プロキシ」を構成できる。透過型プロキシとは、ユーザーの端末側で特別な設定をしなくても、自動的に通信をプロキシサーバに通せる仕組みだ。
本来、透過型プロキシはネットワーク管理やセキュリティ向上のために使われる。だが攻撃者が悪用し、自分たちが管理するサーバを経由させてパスワード認証の通信を中継および横取りする。ユーザーが入力したパスワードやワンタイムパスワードを盗み取ることが可能になる。
フィッシング耐性のある認証を強制
ウィンターフォード氏は、攻撃が成功するかどうかは「ユーザーにどのサインイン方法を使わせるか」に左右されると指摘する。強力なフィッシング耐性のある認証を利用する環境では、AiTMは効果を発揮できない。
管理者が認証ポリシーのルールでフィッシング耐性のある認証を強制すると、ユーザーは以下のいずれかの方法でしか保護されたリソースにアクセスできないという。
- Okta FastPass
- パスワードレス認証機能「FIDO2」ベースの認証
- PIV(Personal Identity Verification)スマートカード
これらはいずれもフィッシング耐性が備わっており、もし認証要求が攻撃者の透過型プロキシを経由している場合はアクセスを許可しない。そのためユーザーが攻撃者にだまされて他の弱い方法を選ぶことはできない。
翻訳・編集協力:雨輝ITラボ(リーフレイン)
Copyright © ITmedia, Inc. All Rights Reserved.