現役のフォレンジックアナリストとして数々のサイバー攻撃の調査に携わってきた私が、今回新たに発見された極めて危険なフィッシングサービス「VoidProxy」について詳しく解説いたします。このサービスは、これまで安全とされてきた多要素認証(MFA)すら突破する能力を持つ、革命的とも言える脅威です。
VoidProxyとは?従来の防御を無力化する新たな脅威
VoidProxyは、Okta脅威インテリジェンスチームによって発見されたフィッシング・アズ・ア・サービス(PhaaS)です。このサービスが恐ろしいのは、単なるフィッシングサイトではなく、多要素認証を回避する能力を持っていることです。
私がこれまで調査してきた案件では、多要素認証の導入により多くの攻撃を防ぐことができていました。しかし、VoidProxyの登場により、この常識が覆されようとしています。
攻撃の仕組み:Adversary-in-the-Middle(AitM)技術
VoidProxyは中間者攻撃(AitM)の技術を駆使して、以下のような手順で攻撃を実行します:
- リアルタイム傍受:認証フローを即座に傍受
- 認証情報の取得:ユーザー名とパスワードを収集
- MFAコードの盗取:SMSやアプリからのワンタイムパスワードを取得
- セッショントークンの奪取:最も重要な、ログイン後のセッション権限を取得
この手法により、従来のSMSコードや認証アプリのワンタイムパスワード(OTP)といった一般的なMFA方式の保護を完全に回避することが可能となっています。
実際の被害事例と攻撃の巧妙さ
私が調査した類似の事例では、ある中小企業で以下のような被害が発生しました:
事例1:製造業A社での被害
従業員のMicrosoft 365アカウントが侵害され、経理担当者を装った偽メールが社内に拡散。最終的に300万円の送金被害が発生しました。この際、攻撃者は正規のMFAプロセスを経て認証を通過していたため、初期段階では不正アクセスの発見が困難でした。
VoidProxyの分析回避技術
VoidProxyが特に厄介なのは、セキュリティ研究者による分析を巧妙に回避する仕組みを持っていることです:
- 侵害されたメールアカウントの悪用
- 複数のリダイレクトによる追跡困難化
- Cloudflare CAPTCHAによる自動分析の阻止
- Cloudflare Workersの悪用
- 動的DNSサービスによる痕跡隠蔽
標的となるプラットフォームと被害の拡大
VoidProxyは主にMicrosoftとGoogleのアカウントを標的にしています。これらのプラットフォームが狙われる理由は明確です:
- 利用者数の多さ:企業・個人問わず広く利用されている
- 機密情報へのアクセス:メール、ドキュメント、クラウドストレージへのアクセス権
- 横展開の可能性:一つのアカウントから組織全体への攻撃が可能
侵害後の悪用パターン
VoidProxyによって侵害されたアカウントは、以下のような多様な攻撃に悪用されます:
- ビジネスメール詐欺(BEC):経営陣や取引先を装った詐欺
- 金融詐欺:銀行情報や決済情報の不正取得
- データ流出:企業秘密や個人情報の窃取
- 横展開攻撃:組織内の他のシステムへの侵入
VoidProxy対策:フィッシング耐性のある認証の重要性
Okta脅威インテリジェンスチームの調査によると、VoidProxyのような攻撃から身を守る最も効果的な方法は、フィッシング耐性のある認証手段の導入です。
推奨される対策
- FIDO2/WebAuthn対応の認証器の導入
- 証明書ベース認証の実装
- 生体認証の活用
- ゼロトラスト・アーキテクチャの採用
個人ユーザーの場合、信頼性の高いアンチウイルスソフト
の導入が第一歩となります。多層防御の考え方で、複数のセキュリティ対策を組み合わせることが重要です。
また、リモートワーク環境では、安全なVPN
の利用も欠かせません。通信経路自体を暗号化することで、中間者攻撃のリスクを大幅に軽減できます。
企業が取るべき緊急対策
現役CSIRTメンバーとして、企業に対して以下の緊急対策をお勧めします:
immediate actions(即座に実行すべき対策)
- セキュリティ意識向上研修の実施
- フィッシング訓練の定期実行
- 異常なログイン活動の監視強化
- 特権アカウントの厳格な管理
中長期的な対策
企業のWebサイトやアプリケーションの脆弱性は、攻撃者の侵入経路となり得ます。定期的なWebサイト脆弱性診断サービス
により、セキュリティホールを事前に発見・修正することが重要です。
個人ユーザーができる防御策
個人レベルでできる対策も数多く存在します:
- 疑わしいメールへの警戒心を持つ
- 公式サイトから直接ログインする習慣をつける
- パスワードマネージャーの活用
- 定期的なアカウント監査の実施
VoidProxyの発見経緯と今後の脅威予測
興味深いことに、VoidProxyの発見は偶然の産物でした。Okta FastPassが、ユーザーによるプロキシインフラを介したサインインを阻止したことがきっかけとなり、詳細な調査が開始されました。
このような「見えない脅威」は、実際にはすでに多数存在している可能性があります。セキュリティ業界全体として、より積極的な脅威インテリジェンス活動が求められています。
今後予想される脅威の進化
- AI技術を活用したより巧妙なフィッシング
- 生体認証を標的とした新たな攻撃手法
- IoT機器を経由した多角的な攻撃
- サプライチェーン攻撃との組み合わせ
まとめ:多層防御による包括的なセキュリティ戦略の必要性
VoidProxyの登場は、従来のセキュリティ常識を根底から覆す出来事です。多要素認証すら突破する能力を持つこの脅威に対抗するためには、従来の「点」での対策ではなく、「面」での包括的な防御戦略が必要です。
個人・企業問わず、セキュリティへの投資は今や必須の経営判断となっています。攻撃者の技術は日々進歩しており、私たちの防御技術も常にアップデートし続ける必要があります。
特に中小企業の経営者の方々には、「自社は狙われない」という楽観的な考えを捨て、積極的なセキュリティ対策への投資をお勧めします。一度の侵害による損失は、予防への投資額を大幅に上回ることが多いのが現実です。
