-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年7月20〜22日:サイバーセキュリティ関連ニュース
ハッカー「PoisonSeed」、FIDOによる保護を弱体化させる新たなQRフィッシング手法を採用
The Hacker News – Jul 21, 2025
FIDOキーによる保護機能を格下げすることが可能な新しい攻撃手法を、脅威アクター「PoisonSeed」が使用し始めているという。Expelの研究者らが実際のフィッシング攻撃キャンペーンの中で観測した。
FIDOとは、公開鍵暗号方式と生体認証を組み合わせたパスワードレスの多要素認証方式の1つ。認証に必要な秘密情報は認証を行う端末側のみに保存され、ネットワーク上での伝送やサーバー側での保存の必要はない。
フィッシング耐性を備えるFIDO認証だが、「クロスデバイスサインイン(クロスデバイス認証)」機能を悪用した中間者攻撃により、保護のレベルを低下させられることが今回Expelが観測した攻撃手法により明らかになっている。なおクロスデバイス認証とは、既にパスキーが登録されているスマートフォンなどのデバイスを使って、新しいデバイスでも同じサービスにログインできるようにする仕組みを指す。具体的には、PCなどの新しいデバイスでログインページにアクセスし、表示されたQRコードをパスキー登録済みのスマートフォンで読み取ってパスキーでの認証を行い、この認証が成功するとPCの方でも当該サービスへログインできるようになるというもの。
PoisonSeedによるものとされる今回の攻撃は、まずターゲット企業の従業員にフィッシングメールを送付するところからスタート。このメールにより、当該従業員を当該企業のOktaサインインページに見せかけたフィッシングサイトへ誘導する。従業員が偽物と気づかずにこのフィッシングページへユーザー名とパスワードを入力すると、フィッシングページは入力された認証情報を本物のOktaサインインページへリレーし、クロスデバイス認証によるログイン方式の使用を要求。本物のOktaページがこの要求に同意してQRコードを提示すると、攻撃者はこのコードをフィッシングサイトへリレーする。ターゲット従業員がこのコードを自らのスマートフォンで読み取ってMFAアプリでの認証を成功させると、攻撃者のデバイスでもログインが可能になるという。
ただ、この手法はすべてのシナリオで使用できるわけではなく、Bluetoothなどで両デバイスが近接しているかをチェックする認証フローが利用されている場合や、ハードウェアセキュリティキーが利用される場合などには無効となる。
Expelはまた、上記とは別のインシデントにおいて、攻撃者がフィッシングメールを通じてユーザーアカウントへ不正にアクセスしてパスワードを変更したのち、独自のFIDOパスキーを登録する事例も観測したという。
ユーザーアカウントをより効果的に保護するため、組織にはFIDO2認証を利用することに加え、ログインに使用されているデバイスを検証するチェックも併せて導入することが推奨される。またセキュリティチームは、不審なQRコードログインや新しいパスキーの登録に注意を払う必要があるほか、アカウント回復オプションにはフィッシング耐性のある方法を使用し、ログイン画面(特にクロスデバイス認証の場合)には、場所、デバイスの種類、または明確な警告表示など、ユーザーが不審な活動を検知するのに役立つ詳細情報を表示すべきとのこと。
人気のnpmパッケージがメンテナのフィッシング被害により乗っ取られる
BleepingComputer – July 19, 2025
今週末に、人気のJavaScriptライブラリが乗っ取られてマルウェアドロッパーにされてしまうサプライチェーン攻撃が発生。この攻撃は、当該ライブラリのメンテナがフィッシングにより認証情報を盗み取られたことに起因するという。
今回侵害されたのは、週あたりのダウンロード回数が3,000万回を超える人気のnpmパッケージ「eslint-config-prettier」。攻撃者はライブラリのメンテナであるJounQin氏に「support@npmjs.com」が送り主であると見せかけたフィッシングメールを送付し、メールアドレスの認証が必要であるとの文面で同氏を騙して認証情報を窃取すると、eslint-config-prettierの悪性バージョン(8.10.1、9.1.1、10.1.6、10.1.7)を公開したとされる。またeslint-plugin-prettier、synckit、@pkgr/core、napi-postinstallというJounQin氏のほかのパッケージも同様に標的になった。
これらの有害バージョンがインストールされると、「install.js」というpostinstallスクリプトが実行され、これに含まれる関数によってトロイの木馬であるDLL「node-gyp.dll」の実行が試みられるという。
またJounQin氏のパッケージとは別に、同一の脅威アクターによるものと思われる別の侵害事例も報告されている。これは「got-fetch」というパッケージがハイジャックされたもので、前述のnode-gyp.dllとの共通点を備えるDLL「crashreporter.dll」の存在が確認されているという。
影響を受けたパッケージのバージョンは以下で、これらはインストールしないようにする必要がある。
- eslint-config-prettier:バージョン8.10.1、9.1.1、10.1.6、10.1.7
- eslint-plugin-prettier:バージョン4.2.2、4.2.3
- synckit:バージョン0.11.9
- @pkgr/core:バージョン0.2.8
- napi-postinstall:バージョン0.3.1
- got-fetch:バージョン5.1.11、5.1.12
オープンソースエコシステムが大部分を信頼関係に頼って運営されており、たった1回の誤ったクリックが数百〜数千万のユーザーを危険に晒す恐れがある中、今回のようなインシデントによりサプライチェーンセキュリティの脆弱さやメンテナセキュリティの重要さが浮き彫りになっている。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
