Evilginxによる新たな脅威
セキュリティ研究者たちは、Evilginxを悪用したサイバー攻撃の急増について緊急警告を発しています。Evilginxは、ログインフローを傍受してセッションクッキーを窃取し、多要素認証(MFA)保護を回避する「中間者フィッシングツールキット」です。特に教育機関において、驚くべき成功率で攻撃が展開されており、その脅威は深刻です。
Evilginxの仕組み
Evilginxは、ユーザーと正規のウェブサイトの間にリアルタイムで位置することで、外科的な精度で動作します。被害者を粗悪な偽サイトに誘導するのではなく、正規のサインインフローを中継するため、ユーザーには疑いを持たせることなくシームレスな体験を提供します。ユーザーは、銀行、メールプロバイダー、または企業のシングルサインオンポータルと直接通信していると信じ込み、認証情報とMFAコードを入力します。しかし、実際にはすべてのキーストロークがキャプチャされ、MFA完了後にウェブサイトが発行するセッションクッキーも盗まれてしまいます。
セッションクッキーの悪用
セッションクッキーは、利便性のために設計された一時的な認証トークンであり、ブラウジングセッション中有効であるため、繰り返しログインする必要がありません。この特性が、Evilginxによって攻撃者にとって魅力的な標的となります。一度Evilginxにキャプチャされると、攻撃者はこれらのクッキーを再利用して、追加のMFAプロンプトなしにアクティブなセッションを維持できます。金融プラットフォームや企業システムでは、これにより攻撃者は不正な取引を実行したり、セキュリティ設定を変更したり、機密データを窃取したり、内部ネットワークを横断したりする永続的なアクセス権を得ることになります。
セッションクッキーはブラウザを閉じると技術的に期限切れになりますが、攻撃者は自然な期限切れまたは手動での取り消しが発生するまで、セッションを indefinitely 継続させることができます。この機会は、高インパクトな操作には十分です。攻撃者は、正規の認証プラットフォームを模倣するように設計されたEvilginxプロキシページのリンクを配布します。不審な点に気づかない被害者はクリックして通常通り認証を行い、意図せずユーザー名とパスワードだけでなく、暗号学的に有効なセッション認証情報を手渡してしまうのです。
検出の難しさ
Evilginxの高度な手口は、従来のセキュリティアドバイスを無効化します。暗号化は正規であるため、鍵のアイコン(Padlock icon)は表示され、トラフィックが実際のサーバーを経由するためURLも正しく見えます。その動作は正規の使用と区別がつかないため、自動化されたセキュリティチェックは苦戦します。さらに、攻撃者は短命のリンクを頻繁に展開し、ブロックリストに登録される前にリンクが消滅するようにしています。
多層防御とユーザーの警戒
組織や個人は、多層防御を採用する必要があります。ウェブコンポーネントを備えたリアルタイムのマルウェア対策は、行動検出機能を提供しますが、完璧ではありません。パスワードマネージャーは、Evilginxがセッションレベルで動作するため、限定的な保護しか提供しません。最も堅牢な防御策は、特定のデバイスに暗号学的に紐付けられたハードウェアセキュリティキーやパスキーなどのフィッシング耐性のある認証です。これらは、キャプチャされた認証情報だけでは再利用できません。
個人は、予期せぬ認証リンクを注意深く精査し、クリックする前に送信者の正当性を確認し、詐欺検出ツールの使用を検討すべきです。侵害が疑われる場合は、直ちにすべてのアクティブセッションを失効させ、MFAで再認証し、パスワードをリセットし、アカウント復旧設定を監査することが不可欠です。Evilginxの脅威は、MFAがセキュリティを大幅に向上させる一方で、包括的な多層防御とユーザーの警戒なしには不完全であることを示しています。