Tycoon 2FA:新たな脅威の警告
Tycoon 2FAフィッシングキットの台頭は、あらゆる企業にとって世界的な警告のサイレンとして機能するはずです。これはエリートハッカー向けのツールではなく、ブラウザさえあれば誰でもMFA(多要素認証)や認証アプリをバイパスできるターンキーキットです。すでに今年、64,000件以上もの攻撃が確認されており、その多くがMicrosoft 365やGmailを標的にしています。これらのプラットフォームは、企業への侵入経路として最も容易で迅速なためです。
スキル不要の「Phishing as a Service」
Tycoon 2FAの強力な点は、技術的なスキルを不要にするところにあります。これは「Phishing as a Service(サービスとしてのフィッシング)」として、完全にパッケージ化され、洗練され、自動化されています。コードを一行も書けないティーンエイジャーでも展開可能です。このキットは、オペレーターがセットアップを進めるのをガイドし、偽のログインページを提供し、リバースプロキシサーバーを立ち上げるなど、すべての重労働をこなします。攻撃者は、数百人の従業員にリンクを送信し、誰かが引っかかるのを待つだけです。
リアルタイムMFAリレーとセッション完全掌握
被害者がクリックすると、Tycoon 2FAが残りの作業を行います。ユーザー名とパスワードをリアルタイムで傍受し、セッションクッキーを捕捉し、MFAフローをMicrosoftまたはGoogleに直接プロキシします。被害者は単にセキュリティチェックを通過していると思いがちですが、実際には攻撃者を認証しているのです。これは恐ろしいことです。よく訓練されたユーザーでさえも、すべてがピクセル単位で完璧に同じに見えるため、これに騙されてしまいます。ページは動的で、正規のサーバーからライブ応答を引き出します。Microsoftがコードの入力を求めれば、ページは即座に更新されます。Googleがプロンプトを送信すれば、期待通りに表示されます。目に見える違いは一切なく、手掛かりもありません。そして、Tycoonが設計上マン・イン・ザ・ミドルであるため、レガシーMFAや認証アプリがこれを阻止する方法はありません。
巧妙な検知回避メカニズム
さらに悪いことに、Tycoon 2FAには商用マルウェアに匹敵する高度な検知回避レイヤーが含まれています。Base64エンコーディング、LZ文字列圧縮、DOM消滅、CryptoJS難読化、自動ボットフィルタリング、CAPTCHAチャレンジ、デバッガーチェックなど、キットはスキャナーや研究者から自身を隠します。人間のターゲットが到着したときにのみ、その真の挙動を現します。認証リレーが完了すると、攻撃者はMicrosoft 365またはGmail内で完全なセッションアクセスを獲得します。そこから、SharePoint、OneDrive、メール、Teams、人事システム、財務システムへと横方向に移動し、たった一度の成功したフィッシングが完全な侵害を生み出します。
レガシーMFAはすでに崩壊
これこそが、レガシーMFAが崩壊した理由です。ただ導入するだけでは、あなたの会社はハニーポットになってしまいます。SMSコード、プッシュ通知、TOTPアプリなど、すべてが同じ欠陥を共有しています。それらはユーザーの行動に依存し、ユーザーが何かがおかしいと気付くことを期待しています。これらは傍受、転送、またはリプレイされ得る共有シークレットを攻撃者に提供します。Tycoon 2FAや同様の数十のキットは、まさにそこを悪用しています。それらはユーザーを攻撃ベクトルに変えてしまうのです。クラウドアカウントを介して同期されたり、ソーシャルエンジニアリングで悪用可能なフォールバック回復パスが存在する場合、パスキーでさえ脆弱であることが判明しています。攻撃者はこれを完全に理解しています。Scattered Spider、Octo Tempest、Storm 1167のような犯罪グループは、これらのキットを日常的に使用しています。これは簡単でスケーラブルであり、技術的な洗練を必要としないため、世界で最も急速に成長している攻撃方法です。企業はMFAや認証アプリを展開しているにもかかわらず、フィッシングキットがそれらを標的にした瞬間にこれらのシステムが崩壊することを発見しています。真実はシンプルです。誰かがあなたの従業員を騙してコードを入力させたり、プロンプトを承認させたりできれば、攻撃者が勝利します。そしてTycoonはまさにそれを実行します。
進むべき道:フィッシング耐性MFA
しかし、進むべき道はあり、迅速かつ簡単に展開できます。FIDO2ハードウェアを基盤とした生体認証フィッシング耐性IDです。これは、近接ベースで、ドメインにバインドされ、リレーや偽装が不可能な認証システムです。入力すべきコード、承認すべきプロンプト、傍受すべき共有シークレットがなく、ユーザーを騙して攻撃者を助ける方法もないシステムです。偽のウェブサイトを自動的に拒否するシステムであり、ログイン中のコンピューターの近くになければならない物理デバイスでのライブ生体指紋認証を強制します。これはすべてを変えます。なぜなら、ユーザーを意思決定ツリーから排除するからです。誰かが偽のログインページを認識することを期待する代わりに、認証器自体が暗号学的にオリジンをチェックします。誰かが悪意のあるプッシュ要求を拒否することを期待する代わりに、認証器はプッシュ要求を一切受け取りません。人々に完璧であることを求める代わりに、システムは判断ではなくハードウェアでIDを検証します。
Tokenモデルの紹介
これがToken RingとToken BioStickの背後にあるモデルです。アーキテクチャ的にフィッシング耐性があり、生体認証が必須で、デフォルトで近接ベースであり、暗号学的にドメインにバインドされています。盗むべきコードはなく、騙すべき承認もなく、詐欺師が悪用できる回復フローもありません。たとえユーザーが間違ったリンクをクリックしたとしても、たとえユーザーがパスワード(持っている場合)を渡したとしても、たとえソーシャルエンジニアがIT担当者になりすまして電話をかけてきたとしても、ドメインが一致せず、指紋が存在しないため、認証は単に失敗します。Tycoon 2FAは壁にぶつかり、リレーは途絶え、攻撃は即座に終了します。そして、これらのソリューションは安価で今日から利用可能です。これらのデバイスを使用している企業は、重要なことを報告しています。従業員は、このパスワード不要のワイヤレスソリューションに簡単に従います。認証は迅速(2秒)で、覚えることも、入力することも、承認することもありません。これはより良いユーザーエクスペリエンスであり、はるかに強力なセキュリティ体制です。IDがオリジンチェックと近接要件を強制する物理的な生体認証デバイスにバインドされている場合、フィッシングキットは無関係になります。
企業が直面すべき現実
これは、すべての企業が受け入れなければならない瞬間です。攻撃者は進化し、防御も進化しなければなりません。レガシーMFAはこの脅威を生き残れません。認証アプリはこの脅威を生き残れません。パスキーもこれに苦戦します。Tycoon 2FAは、ユーザーに何かを入力または承認を求めるシステムは、数秒で破られる可能性があることを証明しています。真実を明確に述べましょう。もしあなたのMFAが偽のウェブサイトに騙される可能性があるなら、すでに侵害されています。もしあなたの認証がリレーされる可能性があるなら、それはリレーされるでしょう。もしあなたのシステムがユーザーの判断に依存しているなら、それは失敗するでしょう。フィッシング耐性があり、近接バウンドで、ドメインロックされた生体認証ハードウェアベースのIDが唯一の道です。犯罪者はアップグレードしました。今度はあなたの番です。Tycoonまたはその後継者があなたを次の見出しにする前に、あなたのIDレイヤーをアップグレードしてください。Token製品は現在オンラインで入手可能です:https://store.tokenring.com