「Analyst’s Choice」では、弊社インテリジェンスアナリストが先月報じられたニュースの中から注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。
今月の2つ目のトピックは「二要素認証(2FA)をバイパスするフィッシングキット『Tycoon 2FA』」です。これについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。
今月の「Analyst’s Choice」、その他の記事はこちら:
GmailとMS 365の利用に新たな警鐘、2FAを回避するハッキングが確認される中
- 二要素認証(2FA)をバイパスすることで知られる悪名高きフィッシングキット「Tycoon 2FA」がアップデートされてステルス性能が向上し、盛んにGmailやMicrosoft 365を狙うようになっています。これにより、従来型の2FAに依存する組織には重大なリスクがもたらされています。
- このキットはAiTM攻撃(Adversary-in-the-Middle / 中間者攻撃)のアプローチを使用してユーザーらの認証情報や2FAトークンを傍受し、被害者を模倣ログインページへリダイレクトします。そしてこのページ上でセッションクッキーを盗み出すことで、攻撃者は正規の2FA保護をバイパスできるようになります。
- Googleとマイクロソフトがパスキーやセキュリティキーの採用を推奨する中、Tycoon 2FAというフィッシングキットの設計を見るに明らかなのは、ユーザーへの注意喚起やトレーニングの実施がすぐにでも必要であるということです。従来の2FAを導入するだけでは、もはや十分な保護が提供されない場合があります。
情報源:
- https://www.forbes.com/sites/daveywinder/2024/03/26/new-gmail-and-m365-security-warning-as-2fa-bypass-attack-confirmed/?sh=776339a56957
アナリストのコメント
影響範囲
Tycoonの被害に遭うリスクが最も高いのはMicrosoft 365やGmailを使用する組織の従業員たちで、中でも高価値アカウントの持ち主や、サイバーセキュリティトレーニングを十分に受講していない人々は特に危険です。また、パスワードを使い回していたり、SMSによる2FAしか利用していなかったり、あるいはURLに対してさほど注意を払っていなかったりする人々も、被害を受ける可能性が比較的高いです。セキュリティ意識向上プログラムを実施していない組織や、ソフトウェアを最新の状態に維持できていないユーザーに関しては、リスクプロファイルがさらに増大してしまいます。
緩和戦略
- FIDOに準拠したセキュリティキー:FIDOに準拠した物理的なセキュリティキー(Yubikeyなど)は、フィッシング攻撃に対する最高レベルの保護を提供してくれます。こうしたキーは認証と物理的なデバイスおよびWebサイト自体とを紐付けてくれるので、Tycoonのような方式の攻撃による傍受はほぼ不可能になります。
- 最新のEDR(Endpoint Detection & Response):EDRソリューションは従来のアンチウイルス製品より一歩進んだセキュリティツールで、疑わしい挙動がないか、エンドポイント(コンピューターやラップトップなど)をモニタリングするものです。EDRはTycoon 2FA関連の悪意ある活動を検出することができ、認証情報が盗み出される前に攻撃を阻止するのに役立ちます。
- セキュリティ意識向上トレーニング用のプラットフォーム:こうしたプラットフォームは、Tycoon 2FAのような高度な戦術を用いるものも含め、フィッシング攻撃の見分け方についてのトレーニングを従業員に提供してくれます。フィッシングキャンペーンをシミュレーションしてくれるので、望ましいセキュリティ慣行が実施されやすくなり、攻撃の成功件数を減らすことに繋がります。
- 専用のアンチフィッシングソリューション:ベンダーによっては、専用のアンチフィッシングツールを提供している場合があります。こうしたソリューションは、以下のような性能を備えています。
- リアルタイムでWebサイトのURLを分析し、フィッシングページを特定する。
- 危険かもしれないドメインについて、ブラウザ拡張機能を用いてユーザーに警告する。
- Eメールシステムに統合することで、不審なメッセージにフラグを立てる。
- ゼロトラストネットワークアーキテクチャ(ZTNA):ゼロトラストのアプローチにおいては、あらゆるユーザーあるいはデバイスを「本質的に信頼できないもの」とみなし、IDの検証を毎回行い、コンテキストに基づいてアクセスを認可します。これにより、たとえMFAがバイパスされたとしても、盗まれた認証情報を用いてアカウントを侵害することは困難になります。
見解
考慮しておくべき重要事項
- コストと複雑さ:FIDO対応のキーやゼロトラスト実装など、ソリューションによっては追加で予算を確保する必要があったり、ITの専門知識が求められたりするものもあります。
- 銀の弾などない:リスクを完全に排除できる製品というのは1つも存在しません。どんなケースにおいても、最も望ましいのは多層的なセキュリティのアプローチを取り入れることです。
- ユーザーエクスペリエンス:セキュリティとユーザーエクスペリエンスを上手く調和させましょう。セキュリティの過度な強化によって不便さが増すと、ユーザーはセキュリティ措置の回避を試み始める可能性があります。
適切な製品の選び方
- 自組織のリスクを評価:自組織に特有なリスクプロファイルを理解し、自組織を狙う可能性が最も高いのはどのような攻撃なのかを把握しましょう。
- 予算:現実的に考えてセキュリティソリューションにどれくらいの金額を費やせるのかを決定しましょう。
- 機能の検討・比較:多様な製品の機能を調べ、それらが自組織のリスク緩和に求められる条件と合致するかどうか検討しましょう。
- 概念実証:ショートリストに残った製品に関しては、フル配備する前に自組織の環境内でのトライアルを実施しましょう。
Writer
兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。