ニュースに戻る
リサーチ

Starkiller:リアルタイムプロキシ攻撃でMFAを回避するフィッシング・アズ・ア・サービス

1分で読めますソース: Krebs on Security
Diagram of Starkiller phishing service workflow showing real-time proxy attack on MFA-protected login page

Starkillerは、リアルログインページをプロキシングする高度なフィッシング・アズ・ア・サービス(PhaaS)で、MFAや従来の防御を突破。Abnormal AIの分析で明らかになった脅威の仕組みと対策を解説。

巧妙なフィッシングサービスが本物のログインページを悪用して検知を回避

新たに発見された高度なフィッシング・アズ・ア・サービス(PhaaS)プラットフォームStarkillerは、サイバー犯罪者が多要素認証(MFA)や従来のフィッシング防御を回避することを可能にしています。Microsoft、Google、Appleなどの大手ブランドの本物のログインページをプロキシすることで、静的なフィッシングキットとは異なり、Starkillerはリアルタイムでライブ認証ポータルを動的に読み込み、被害者の認証情報、セッショントークン、MFAコードを中間者(MITM)リバースプロキシとして傍受します。

Abnormal AIによる発見と分析によれば、Starkillerはフィッシングインフラの大きな進化を示しており、攻撃者の技術的障壁を下げると同時に、ドメインブロックリストや静的ページ分析などの検知手法を回避します。

技術解説:Starkillerの動作メカニズム

Starkillerの核となる機能は、偽装URLリアルタイムプロキシを利用して、被害者を本物のサービスで認証させながら、知らぬ間に認証情報を攻撃者に送信させることにあります。主な技術的特徴は以下の通りです:

  • URLマスキング:フィッシングリンクは、login.microsoft.com@[悪意のあるドメイン]のように、URL内の@記号を悪用して正規ドメインに見せかけます。この記号は前のテキストをユーザー名データとして扱い、トラフィックを攻撃者が管理するドメインにルーティングします。
  • Dockerベースのリバースプロキシ:サービスはヘッドレスChromeブラウザインスタンスをDockerコンテナ内で起動し、ターゲットブランドの本物のログインページを読み込みます。これらのコンテナはMITMプロキシとして機能し、被害者の入力(ユーザー名、パスワード、MFAコード)を正規サイトに転送しながら、すべてのデータを記録します。
  • リアルタイムセッションハイジャック:Starkillerは認証中にセッションクッキーやトークンを捕捉し、攻撃者にMFA検証後も侵害アカウントへの持続的なアクセスを提供します。
  • キーロギングと画面監視:プラットフォームはすべてのキーストロークを記録し、被害者のフィッシングページとのやり取りをライブストリーミングすることで、攻撃者がリアルタイムで行動を観察できるようにします。
  • 自動Telegramアラート:新しい認証情報が収集されると、オペレーターは即座に通知を受け取り、キャンペーン分析(訪問数、コンバージョン率など)も提供されます。

Abnormal AIの研究者Callie BaronPiotr Wojtylaは、StarkillerがMFAトークンをリアルタイムで中継する能力により、MFA保護が事実上無効化されることを指摘しています。被害者の認証フローはシームレスに正規サービスにミラーリングされるためです。

影響と脅威の状況

Starkillerは、サイバー犯罪グループJinkusuによって提供されており、ユーザーフォーラムでは顧客がテクニックを議論したり、機能のリクエストを行ったりしています。このサービスには以下のような追加機能も含まれています:

  • コンタクトハーベスティング:侵害されたセッションからメールアドレスや個人データを抽出し、フォローアップ攻撃のためのターゲットリストを構築。
  • ジオトラッキング:被害者の位置情報を監視し、フィッシングキャンペーンをカスタマイズ。
  • アラカルト機能:URL短縮、リンク設定、分析ダッシュボードなどのカスタマイズオプション。

パフォーマンスメトリクスやカスタマーサポートを備えたエンタープライズ向けデザインは、商品化されたサイバー犯罪ツールの広がりを示しています。Starkillerは、攻撃者がフィッシングドメインや静的ページテンプレートを管理する必要をなくすことで、低スキルのサイバー犯罪者にとっての参入障壁を大幅に下げています。

緩和策と推奨対策

Starkillerや同様のプロキシベースのフィッシング攻撃に対抗するために、セキュリティチームは以下の防御策を優先すべきです:

  • ユーザー教育:従業員に対し、URLを精査するよう教育しましょう。特に@記号を含むものや、不自然なドメイン構造には注意が必要です。MFAがリアルタイムプロキシ攻撃に対して万全ではないことを強調しましょう。
  • 高度なメールフィルタリングホモグラフ攻撃(例:rnicrosoft.com vs. microsoft.com)や悪意のあるリンクの難読化を検知できるソリューションを導入。
  • 行動分析:異常な認証パターン(異なる場所からの同時ログインや不自然なセッション時間など)を監視。
  • FIDO2/WebAuthnハードウェアベースのMFA(例:YubiKey)の導入を推奨。これはフィッシングやMITM攻撃に強いです。
  • セッション監視:既知の悪意あるIPからのセッションや不審な活動を検知し、終了させるツールを実装。
  • 脅威インテリジェンス:新たなPhaaSプラットフォームやサイバー犯罪フォーラムを追跡するフィードに登録し、進化する戦術に対応。

結論

Starkillerは、リアルタイムプロキシMFA回避エンタープライズグレードのツールを組み合わせた、フィッシング・アズ・ア・サービスの高度化を象徴する脅威です。サイバー犯罪者がこれらの手法を洗練させる中、組織は資格情報窃取やアカウント乗っ取り攻撃の変化する状況に対応する防御策を適応させる必要があります。

共有

TwitterLinkedIn