Okta Japan株式会社は9月12日、新たなフィッシングプラットフォーム「VoidProxy」がMFAを回避しているとの分析記事を公開した。
Okta脅威インテリジェンスチームによると、これまで報告のなかったフィッシング・アズ・ア・サービス(PhaaS)のオペレーションで、開発者に「VoidProxy」と名付けられており、攻撃者がMicrosoftやGoogleのアカウントを標的にするために使用されている。
「VoidProxy」は、Adversary-in-the-Middle(AitM/中間者攻撃)の技術を使って、認証フローをリアルタイムで傍受し、認証情報、MFAコード、サインイン時に確立されるセッショントークンを取得する機能を備え、SMSコードや認証アプリのワンタイムパスワード(OTP)など、いくつかの一般的な多要素認証(MFA)方式の保護を回避することが可能となっている。
「VoidProxy」プラットフォームは、これまで解析を回避する複数のレイヤーの機能によって分析を免れており、その技術には、侵害されたメールアカウント、複数のリダイレクト、Cloudflare CAPTCHA、Cloudflare Workers、動的DNSサービスの悪用が含まれている。
PhaaSプラットフォームによって侵害されたアカウントは、下記のような多様な悪意ある活動に利用される可能性がある。
・ビジネスメール詐欺(BEC)
・金融詐欺
・データ流出
・被害組織内での横展開(ラテラルムーブメント)
Okta脅威インテリジェンスチームのバイスプレジデントであるBrett Winterford氏は「VoidProxyのような脅威からユーザーを守る最善の方法は、フィッシング耐性のある認証手段に登録し、サインオンポリシーでその使用を義務づけることです」とコメントしている。
