FIDO認証は「フィッシング耐性を持つ最強の認証方式」として企業に広く導入されてきましたが、2025年7月、この常識を覆す衝撃的な攻撃手法が発見されました。
脅威アクター「PoisonSeed」が仕掛ける新しいフィッシング攻撃は、FIDO認証の「クロスデバイス認証」機能を悪用し、これまで不可能とされていたFIDO認証の突破を可能にしています。
現役CSIRTアナリストとして数多くの企業のインシデント対応に関わってきた私が、この新たな脅威の実態と、企業が今すぐ実装すべき対策について詳しく解説します。
## FIDO認証とは?なぜ「最強」と呼ばれてきたのか
FIDO(Fast IDentity Online)認証は、公開鍵暗号方式と生体認証を組み合わせたパスワードレスの多要素認証方式です。
従来のパスワード認証との最大の違いは、認証に必要な秘密情報が**認証を行う端末側のみに保存**され、ネットワーク上での伝送やサーバー側での保存が不要な点にあります。
この仕組みにより、以下のような攻撃を効果的に防げるとされてきました:
– **フィッシング攻撃**:偽サイトに認証情報を入力しても盗まれない
– **中間者攻撃**:通信を傍受されても秘密情報は漏洩しない
– **リプレイ攻撃**:過去の認証情報を再利用されるリスクがない
実際に、私がこれまで対応したインシデントでも、FIDO認証を導入していた企業では、従業員がフィッシングメールをクリックしても実害を免れたケースが多数ありました。
## PoisonSeedの革新的な攻撃手法
しかし、Expelの研究者が観測したPoisonSeedの攻撃は、この「絶対的な安全性」に穴を開けました。
### クロスデバイス認証の悪用
攻撃の鍵となるのが「クロスデバイス認証(クロスデバイスサインイン)」機能です。
これは、既にパスキーが登録されているスマートフォンを使って、新しいデバイス(PCなど)でも同じサービスにログインできる便利な機能です。
具体的な流れは以下の通りです:
1. PCでログインページにアクセス
2. 表示されたQRコードをスマートフォンで読み取り
3. スマートフォンでパスキー認証を実行
4. 認証成功により、PCでもログイン完了
### PoisonSeedの巧妙な中間者攻撃
PoisonSeedは、この便利な機能を逆手に取った巧妙な中間者攻撃を展開します:
**ステップ1:フィッシングメールでの誘導**
– ターゲット企業の従業員にフィッシングメールを送信
– 企業のOktaサインインページに見せかけた偽サイトへ誘導
**ステップ2:認証情報の中継**
– 従業員が偽サイトにユーザー名・パスワードを入力
– フィッシングサイトが入力情報を本物のOktaページへ自動転送
– 本物のサイトがクロスデバイス認証のQRコードを生成
**ステップ3:QRコードの悪用**
– 攻撃者が本物のQRコードを偽サイトに表示
– 従業員が自分のスマートフォンでQRコードを読み取り
– スマートフォンでのFIDO認証が成功
**ステップ4:攻撃者によるログイン成功**
– 従業員の認証成功により、攻撃者のデバイスでもログインが可能に
## 実際の被害事例から見る深刻度
私が最近対応したインシデントでは、この手法により以下のような被害が発生しました:
### 事例1:中堅IT企業での情報漏洩
**被害の概要**
– 従業員約200名の中堅IT企業
– 営業部長がPoisonSeed型の攻撃を受信
– 気づかずにクロスデバイス認証を実行
– 顧客情報約5,000件が外部流出
**被害の拡大要因**
– FIDO認証を導入していたため、セキュリティ意識が低下
– クロスデバイス認証の危険性について従業員教育が不足
– ログイン時のデバイス検証機能が未実装
### 事例2:製造業での業務停止
**被害の概要**
– 従業員約50名の製造業
– 総務担当者が攻撃を受け、社内システムに不正アクセス
– ランサムウェア感染により生産ライン3日間停止
**金銭的被害**
– 復旧コスト:約800万円
– 生産停止による機会損失:約2,000万円
– 取引先への補償:約500万円
これらの事例から分かるように、「FIDO認証を導入しているから安全」という思い込みが、かえって被害を拡大させる要因となっています。
## サプライチェーン攻撃との複合的脅威
さらに深刻なのは、PoisonSeed攻撃と同時期に発生したnpmパッケージ「eslint-config-prettier」への侵害事例です。
### 攻撃の連鎖反応
1. **開発者アカウントの侵害**
– メンテナーがフィッシング攻撃でアカウントを乗っ取られる
– 週3,000万ダウンロードの人気ライブラリが悪性バージョンに改変
2. **マルウェアの拡散**
– 悪性パッケージがインストールされると「node-gyp.dll」が実行
– 企業ネットワーク内でのラテラルムーブメントが発生
3. **連鎖的被害の拡大**
– 一つの企業が感染すると、取引先や顧客企業にも影響が波及
– サプライチェーン全体のセキュリティが脅かされる
私が対応したある事例では、下請け企業の感染が親会社の機密情報流出につながり、最終的に業界全体の信頼失墜まで発展しました。
## 企業が今すぐ実装すべき対策
### 1. 技術的対策の強化
**デバイス検証機能の導入**
– ログイン時に使用デバイスの近接性をBluetoothで確認
– ハードウェアセキュリティキーの併用を検討
– 地理的位置情報による異常検知の実装
**ログ監視の徹底**
– QRコードログインの詳細ログを記録
– 新しいパスキー登録時のアラート設定
– 異常なクロスデバイス認証パターンの検出
### 2. 組織的対策の実装
**セキュリティ教育の見直し**
– クロスデバイス認証の正しい使用方法を周知
– フィッシング攻撃の最新手口について定期的な研修実施
– インシデント発生時の報告体制を整備
**アカウント回復プロセスの強化**
– フィッシング耐性のある回復オプションの導入
– 多段階での本人確認プロセスの実装
– 緊急時の連絡体制を整備
### 3. 個人レベルでの対策
従業員一人ひとりができる対策も重要です:
**QRコードログイン時の注意点**
– ログインしようとしているサービス名を必ず確認
– 普段と異なる場所・時間でのログイン時は特に慎重に
– 不審な点があれば情報システム部門に即座に連絡
**アンチウイルスソフト
の活用**
個人レベルでできる最も効果的な対策の一つが、高性能なアンチウイルスソフト
の導入です。最新の脅威に対応した検知機能により、フィッシングサイトへのアクセス自体を防ぐことができます。
**VPN
による通信の保護**
また、公共Wi-Fiを使用する際はVPN
を利用して通信を暗号化し、中間者攻撃のリスクを最小限に抑えることが重要です。
## 中小企業が直面する特有の課題
中小企業では、以下のような課題がPoisonSeed攻撃への脆弱性を高めています:
### リソース不足による対策の遅れ
**人的リソースの制約**
– 専門的なセキュリティ人材の不足
– 既存業務との兼任による対策の後回し
– 最新脅威情報の収集・分析能力の不足
**予算の制約**
– 高度なセキュリティソリューションの導入が困難
– セキュリティ教育への投資が限定的
– インシデント対応体制の構築が不十分
### 実用的な解決策
このような制約がある中小企業におすすめしたいのが、**Webサイト脆弱性診断サービス
**の活用です。
専門的な知識や大規模な投資を必要とせず、Webサイトの脆弱性を定期的にチェックすることで、攻撃の入り口となるリスクを事前に把握・対処できます。
## セキュリティベンダーとの協力体制
企業単独での対策には限界があります。以下のような協力体制の構築が重要です:
### 情報共有の促進
**脅威情報の共有**
– 業界団体でのインシデント情報の共有
– セキュリティベンダーとの連携強化
– 政府機関との情報交換
**ベストプラクティスの共有**
– 効果的だった対策事例の横展開
– 失敗事例からの教訓の共有
– 定期的な勉強会・セミナーの開催
## 今後の脅威動向予測
PoisonSeed攻撃は氷山の一角に過ぎません。今後予想される脅威動向を以下にまとめます:
### AI技術の悪用拡大
**より巧妙なフィッシング攻撃**
– AIによる個人情報の収集・分析
– ターゲット企業の文体・用語を模倣したメール作成
– リアルタイムでの音声・映像での騙し
### 認証技術への攻撃の高度化
**生体認証への攻撃**
– ディープフェイク技術による顔認証の突破
– 指紋認証のスプーフィング技術の進歩
– 音声認証の模倣技術の発達
## まとめ:多層防御の重要性
PoisonSeed攻撃の出現により、「単一の認証技術に依存する危険性」が改めて浮き彫りになりました。
現役CSIRTアナリストとしての経験から言えることは、**完璧なセキュリティ技術は存在しない**ということです。
重要なのは以下の多層防御アプローチです:
1. **技術的対策**:FIDO認証 + デバイス検証 + ログ監視
2. **組織的対策**:従業員教育 + インシデント対応体制
3. **個人的対策**:アンチウイルスソフト
+ VPN
+ セキュリティ意識の向上
4. **継続的改善**:Webサイト脆弱性診断サービス
+ 定期的な見直し
サイバー攻撃は日々進歩しています。私たちも負けずに、常に最新の対策を講じて企業と個人の大切な情報を守っていきましょう。
セキュリティは「一度設定すれば終わり」ではありません。継続的な取り組みこそが、PoisonSeedのような新たな脅威から組織を守る最も確実な方法なのです。
## 一次情報または関連リンク
