概要:Microsoft 365とOktaを狙う新たなAiTM攻撃
サイバーセキュリティ研究機関Datadogは、Microsoft 365とOktaのシングルサインオン(SSO)を使用する組織を標的とした、巧妙な中間者攻撃(AiTM)型フィッシングキャンペーンを発見しました。この攻撃は、正当なSSO認証フローを乗っ取り、耐フィッシング性のない多要素認証(MFA)を迂回することで、企業のセキュリティインフラに深刻な脅威をもたらします。
攻撃の初期段階:巧妙なフィッシングメール
攻撃は、人気の人事・給与サービスであるADPからの年末調整に関するメールを装ったフィッシングメールから始まります。これらのメールには、lnk.ieなどのURL短縮サービスを介して隠されたリンクが含まれており、被害者をCloudflareインフラ上にホストされた初期のフィッシングドメインへと誘導します。これらのドメインは、employee-hr-portal.com、corporate-hr-portal.com、mybenefits-portal.comといった福利厚生関連のテーマを利用し、NameSiloを通じて登録されています。一部の亜種では、自動検出システムを回避するために、パスワード保護されたPDF添付ファイル内に悪意のあるリンクを埋め込み、パスワードはメール本文で提供される手口も確認されています。
二段階の攻撃メカニズム:Microsoft 365とOktaの連携を悪用
このキャンペーンは、Oktaと連携したMicrosoft 365環境を侵害するために特別に設計された二段階の攻撃メカニズムを採用しています。
- 第一段階:Microsoft 365ログインの偽装
フィッシングページは、正当なMicrosoft 365のログインインターフェースを偽装し、悪意のあるJavaScriptを注入します。このスクリプトは、HTTPレスポンスから「FederationRedirectUrl」フィールドを監視します。被害者がOktaをIDプロバイダーとして使用していることを示すJSONデータが正当なMicrosoftエンドポイントから返されると、悪意のあるスクリプトはこのレスポンスを傍受し、フェデレーションURLを動的に書き換えて被害者を第二段階のOktaフィッシングドメインにリダイレクトします。
- 第二段階:Oktaフィッシングドメインへの誘導
第二段階のドメインは、sso.oktasecure.io、sso.okta-cloud.com、sso.okta-secure.ioといった酷似したインフラを使用します。これらのフィッシングページは、URLパラメータ(例:/?company=<target>.okta.com)を使用して、すべてのトラフィックを正当なOktaテナントにプロキシします。これにより、組織固有のカスタマイズやブランディング要素が維持され、信憑性が高められます。攻撃は、
window.fetchメソッドをフックすることでクライアントサイドのURL書き換えを悪用し、正当なOktaドメインを悪意のあるプロキシに体系的に置き換えつつ、期待される認証フローの外観を維持します。
認証情報の窃取と巧妙な手口
AiTM攻撃キャンペーンでは、inject.jsというクライアントサイドの認証情報窃取スクリプトが展開されます。このスクリプトは、idx、JSESSIONID、proximity_、DT、sidといった重要なOktaセッションクッキーを監視します。また、入力フィールドの変更イベントや送信イベントを追跡するDOMイベントリスナーを通じてユーザー名を捕捉し、okta_captured_usernameクッキーに保存します。このマルウェアは1秒ごとに新しいクッキーをチェックし、捕捉した認証情報、セッションクッキー、URL、タイムスタンプを含むJSONペイロードをPOSTリクエストで/log_cookieエンドポイントに送信することで、重要なセッショントークンを外部に送信します。
攻撃者は、解析回避のためにCloudflare Turnstileを使用したり、キャンペーンID、セッション識別子、IPアドレス、有効期限、使用制限などの追跡メタデータを含むbase64エンコードされたJSONオブジェクトをURLパスに埋め込んだりするなど、複数の回避技術を採用しています。これは、脅威アクターが数百人の標的ユーザーと数十の組織にわたるフィッシングの有効性を制御・監視できる、集中管理されたキャンペーン管理インフラを示唆しています。
活動期間と攻撃者の洗練度
このキャンペーンは少なくとも2025年8月から活発であり、2025年12月にはコードの改善が検出されています。これは、MicrosoftおよびOktaの認証フローに関する高度な知識を持つ、洗練された脅威アクターによる継続的な開発を示しています。
推奨される緩和策
組織は、進化する中間者攻撃から防御するために、以下の対策を講じる必要があります。
- Okta FastPassユーザーの場合:
debugContext.debugDataのリスクフィールドで、outcomeが「FAILURE」でreasonが「FastPass declined phishing attempt」であるuser.authentication.auth_via_mfaイベントを監視してください。このフィールドには、正当なOktaテナントではなく、sso.okta-secure.ioのようなドメインがリクエスト元として不一致で表示されます。 - FastPassを使用していない組織の場合:
Cloudflareインフラから発信され、特に
debugContext.debugData.logOnlySecurityDataが「MEDIUM」または「HIGH」の異常行動評価を示すCHALLENGEまたはDENYの結果を持つpolicy.evaluate_sign_onイベントを監視してください。また、network.client.geoip.as.domainがcloudflare.comを示す場合に、debugContext.debugData.behaviorsが新しいデバイスや場所を「POSITIVE」とフラグするuser.authentication.verifyイベントを監視すべきです。 - 一般的な対策:
耐フィッシング性のMFA方式を導入し、異常なパターンがないか認証ログを継続的に監視することが不可欠です。