Microsoftは7月12日(米国時間)、「From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud - Microsoft Security Blog」において、ユーザーが多要素認証(MFA: Multi-Factor Authentication)を有効にしていても認証プロセスをスキップする大規模なフィッシングキャンペーンがあったことを伝えた。
Microsoftのセキュリティ研究チームが、AiTM(Adversary-in-The-Middle)フィッシングWebサイトを利用した大規模なキャンペーンを発見。これまでに1万を超える組織が標的となったことがわかった。
AiTMフィッシングは、ターゲットユーザとフィッシングWebサイトの間にプロキシサーバを配置し、ターゲットのパスワードとWebサイトとの継続的かつ認証されたセッションを証明するセッションクッキーの窃取を目的としたサイバー攻撃。AiTMフィッシングはセッションクッキーを盗むため、多要素認証などのユーザーがサインイン方法に関係なく、ユーザーに代わってセッションに対しての認証が使われることに注意が必要とのことだ。
同チームは、セッションクッキーの窃取や窃取したクッキーを悪用してExchange Onlineにサインインしようとするなど、AiTMフィッシング攻撃とそれに続く行為に関連する疑わしい活動を検出したという。また、調査によってキャンペーンがどのように行われたのかを分析し、結果としてソリューションの保護機能を改善して充実させることに成功したとしている。
検出されたAiTMフィッシング攻撃は多要素認証を回避しようとするキャンペーンだったが、多要素認証の実装が依然としてIDセキュリティの重要な柱であると同チームは強調。多要素認証はさまざまな脅威を阻止する上で非常に有効であり、その有効性ゆえにAiTMフィッシングが出現したと述べている。組織はFIDO(Fast IDentity Online) v2.0および証明書ベースの認証をサポートするソリューションを使用することが多要素認証のフィッシング耐性をより強固にできると伝えている。