概要:高度なEvilginxフィッシングがMFAを回避
2025年4月以降、米国の教育機関を標的としたEvilginxによる多要素認証(MFA)バイパス型フィッシングキャンペーンが継続的に実施されています。このキャンペーンは、これまでに少なくとも18の大学を狙い、正当なシングルサインオン(SSO)ポータルを模倣してログイン情報とセッションクッキーを傍受する中間者攻撃(AiTM)手法を利用しています。特定の学生SSOポータルへの攻撃に関する情報提供を受けて調査が開始され、サイバー犯罪者がリアルタイムで正当なログインフローをプロキシするために広く使用しているツールキットであるEvilginx(おそらくバージョン3.0)の使用が確認されました。従来のクレデンシャルハーベスティングサイトとは異なり、Evilginxは被害者と正規サービスの間でリバースプロキシとして機能します。
MFA回避の技術的手法と巧妙な欺瞞
この攻撃手法により、攻撃者はMFAチャレンジ成功後に生成されたセッショントークンを捕捉し、被害者の第二要素なしに不正アクセスが可能となります。
このキャンペーンは、従来の検出方法を困難にする高度な運用セキュリティを示しています。攻撃者は、特定のターゲットサイトとのプロキシ動作を定義する「フィッシュレット」構成ファイルを使用して、動的なフィッシングURLを生成します。これらのURLは、TinyURLの短縮リンクを含むパーソナライズされたメールで配信され、露出を最小限に抑えるため、フィッシングリンクは24時間以内に期限切れになるように設定されています。さらに、攻撃者はCloudflareプロキシの背後にホスティング場所を隠し、短命なサブドメインを利用しています。URL構造は常に、ターゲット大学のブランドを偽装するように特別に作成されたサブドメインと、その後に8つのランダムな大文字と小文字を区別しない英字で構成されるURIを特徴としています。これらの戦術は、Evilginxが標準的なセキュリティスキャナーやフロントエンドのコード検査に対して固有の耐性を持っていることと相まって、従来のURL分析やHTMLシグネチャマッチングによる攻撃の検出を困難にしています。
標的となった機関とインフラストラクチャの特定
フィッシングURLの一時的な性質にもかかわらず、その活動の痕跡はパッシブDNSレコードに残っていました。研究者は、攻撃者が正規のサービスドメインに一致するサブドメインラベルを利用するパターンを特定しました。例えば、ある攻撃では、ロチェスター工科大学のShibbolethアイデンティティ管理ログインページ(shibboleth.main.ad.rit.edu)を偽装するように設計されたサブドメインshibbolethmainrit[.]fiuy[.]weddingsarahetemmanuel[.]comが使用されました。
これらのDNSパターンを分析することで、研究者は攻撃者が所有する合計67のドメインを特定しました。インフラは当初、GoDaddyとNameCheapを介した専用サーバーでホストされていましたが、後にCloudflareに移行しました。
Evilginx攻撃者によって特に標的とされた大学は以下の通りです:
- サンディエゴ大学
- カリフォルニア大学サンタクルーズ校
- カリフォルニア大学サンタバーバラ校
- バージニア・コモンウェルス大学
- ミシガン大学
- メリーランド大学ボルチモア郡校 (2025年11月16日に追加)
キャンペーンは2025年4月12日にサンディエゴ大学を標的として正式に開始され、年中頃から攻撃量が増加しました。
検出の課題とパッシブDNS監視の重要性
ドメイン名への依存は攻撃者にとって依然として重要なチョークポイントです。リバースプロキシ攻撃に対してフロントエンドの検査は効果が低いものの、初期のウェブサーバーフィンガープリントと広範なDNSクエリ分析の相関関係により、悪意のあるインフラストラクチャが正常に解明されました。
このキャンペーンに関連する低い検出率は、Evilginx Proのようなツールが、ボットをフィルタリングするためのJA4フィンガープリンティングやワイルドカードTLS証明書のような高度な機能を取り入れていることによる、進化する危険性を浮き彫りにしています。この事例は、パッシブDNS監視が、組織のデータを侵害する前にAiTMインフラストラクチャを事前に特定しブロックするための最も効果的な方法の一つであることを強調しています。