Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle（AiTM）」について発表

2023 年 11 月 6 日更新

Microsoft のセキュリティ研究チームが、大規模なフィッシングキャンペーンである「Adversary-in-the-Middle(AiTM)」について発表しました。

Microsoft：From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud

Adversary-in-the-Middle（AiTM）について

AiTM は、攻撃者がターゲットユーザーとユーザーがアクセスしたい Web サイト（攻撃者が偽装したいサイト）の間にプロキシサーバーを配置し、ターゲットのパスワードと Web サイトとの継続的かつ認証されたセッションを証明するセッション Cookie の窃取を目的としたフィッシング攻撃です。

AiTM フィッシングはセッションクッキーを盗むため、多要素認証 (MFA: Multi-Factor Authentication) の認証プロセスを回避して不正アクセスを実現します。

なお、この攻撃は 2021 年 9 月以降、1 万以上の組織が標的になっています。

「FIDO 認証」と「証明書ベースの認証」による対策が有効

すべての MFA が AiTM フィッシングで認証プロセスを回避されるわけではなく、「Fast ID Online (FIDO) v2.0」と「証明書ベースの認証」をサポートするソリューションであれば、MFA の実装を「フィッシング耐性」にすることができると Microsoft は述べています。

「フィッシング耐性」が高い「証明書ベースの認証」と他の認証要素の違いについて

「フィッシング耐性」が高い「証明書ベースの認証」と他の認証要素の違いについて、まずは仕組みの違いを説明します。

多要素認証を証明書ベースの認証で行う場合

多要素認証を SMS/ 電話 / 認証アプリで行う場合

上述のとおり、「フィッシング耐性」が高いかどうかは、ID/ パスワードに加えて行う認証要素で認証を行う際、攻撃者を経由するか否かが大きな違いです。
「フィッシング耐性」の認証要素では、追加の認証要素においても正規サイトとユーザーの間に攻撃者の偽サイト（リバースプロキシサーバー）が存在し、攻撃者は認証に必要な情報を提示 / 中継できないため、認証自体が失敗します。
一方、SMS/ 電話 / 認証アプリのような認証要素の場合、正規サイトから直接ユーザーに認証を要求するため、認証 OK となった場合にはその情報を攻撃者が窃取可能となります。

デバイス ID による証明書ベース認証

「サイバートラスト デバイス ID」のデバイス証明書は、「証明書ベースの認証」を実現可能なクライアント証明書であり、多様なベンダーやサービスをサポートしています。

• マルチデバイス・マルチネットワークアクセス対応
• パートナー ソリューションズ

新たな脅威への対応策として、初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能な「サイバートラスト デバイス ID」の導入をぜひご検討ください。

なお、「サイバートラスト デバイス ID」では、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット をご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。