#905 MFAを回避、新たなフィッシング アズ ア サービス「VoidProxy」をOktaが分析

今回はOktaが公開したVoidProxyに関する分析を取り上げます。リスナーの皆さんにはVoidProxyがどのように多要素認証を回避してアカウントの乗っ取りにつながるかを分かりやすく解説し、現場で優先的に取るべき防御策と確認手順を具体的にお伝えします。おーはるさんと一緒に深掘りしていきます。

VoidProxyはフィッシングアズアサービスの一種で、Adversary-in-the-Middleの技術を用いて認証フローをリアルタイムで傍受します。その結果、ユーザーのID情報だけでなく多要素認証のワンタイムコードやログイン時に発行されるセッショントークンまで取得できる点が問題です。プラットフォームは解析を難しくするために侵害されたメールアカウントや複数のリダイレクト、Cloudflareの機能や動的DNSを悪用しているため検知やブロックが難しくなっています。影響はアカウント乗っ取りからビジネスメール詐欺や金銭詐取、データ流出、社内での横展開まで多岐にわたります。脆弱性としては従来のワンタイムパスワードやSMSコードでは防ぎきれない点が明らかになったため、対策としてはフィッシング耐性のある認証手段の導入とそれを必須にするサインオンポリシーの適用、異常ログイン検知と多層的なメール保護の強化が重要です。

攻撃者はユーザーに見せる偽のログインページと本物の認証サーバーの間にプロキシを置き、ユーザーから送られた認証情報をそのまま本物のサイトに転送します。本物のサイトが返す認証確認やワンタイムコードの要求もリアルタイムで中継されるため、ユーザーが入力したOTPやSMSコードが攻撃者にそのまま渡ります。さらに一部の認証フローではセッショントークンが発行されますが、このトークンも中継経路で取得して悪用できるため、単にコードを回避されるだけでなく持続的なアクセスが可能になります。VoidProxyはその中継を自動化し、解析回避のための複雑なリダイレクトやプロキシ構成を使っている点が特に厄介です。

最優先はフィッシング耐性の高い認証方式への移行です。具体的には指紋認証や顔認証などのプラットフォーム認証器やセキュリティキーといったFIDO2準拠の公開鍵方式を導入し、サインオンポリシーでワンタイムパスワードやSMSを非推奨にすることです。次に多要素認証を適用していても不要な外部アクセスを制限する条件付きアクセスを設定し、異常な地理的ログインやデバイス不一致をブロックします。さらにメール保護の強化としてDMARCやSPF、DKIMの適用と侵害検出の強化、重要アカウントの監視を行うことが効果的です。これらを段階的に実施する計画を立てることを推奨します。

まずログの収集と分析基盤を整え、異常なサインインや不審なリダイレクトに関するログを継続的に監視します。次にフィッシング耐性のある認証方式をテストするために限定したユーザーで実運用前の検証を行い、第三者のレッドチームやペネトレーションテストで実際の攻撃シナリオをシミュレーションします。加えてセッションのライフサイクルやトークン発行の挙動を監査し、予期しない長時間のセッションや不自然なトークン環境がないかを確認します。最後に自動アラートとインシデント対応手順を整備して即時対応できる体制を作ります。

ユーザー教育とフィッシング訓練は基礎として継続的に実施すべきです。技術面ではセキュリティキーの配布やOSやブラウザのセキュリティ設定の統一を行い、古い認証方式や脆弱なプロトコルを無効化します。メールアカウントの保護では多段階の異常検知や侵害された内部アカウントの迅速な遮断ルールを設定します。さらにサードパーティの脅威インテリジェンスを活用して既知の悪性ドメインやプロキシをブロックし、ログとアラートの相関で早期に兆候を検出する仕組みを作ることが重要です。

短期的な対策だけで安心せずに認証の設計自体を見直すことが長期的な教訓です。ワンタイムパスワード中心の保護は高度な中間者攻撃に脆弱になり得るため、公開鍵基盤に基づくフィッシング耐性の高い認証に移行する計画を立てる必要があります。同時に検知能力とインシデント対応力を高めること、メールやIDプロバイダの保護を強化すること、そして組織全体でセキュリティ投資を継続的に行う文化を醸成することが求められます。