2要素認証を回避するフィッシングツールをセキュリティ研究者が開発

セキュリティ研究者のPiotr Duszyński氏は、フィッシング攻撃を自動化して2要素認証を回避する事が可能なツールを開発・公開しました。

Piotr Duszyński氏のブログによれば、彼が開発したリバースプロキシの「Modlishka」が最近リリースされ、このツールは現在使用されている2要素認証方式の大部分を回避できると語っています。

This blog post is an introduction to the reverse proxy “Modlishka” tool, that I have just released. I hope that this software will reinforce the fact that soci...

通常、攻撃者は偽装しようとしている本物のWEBサイトとそっくりなフィッシングサイトを構築することにより、被害者にフィッシングサイトへ認証情報を入力させようと試みます。

それに対して「Modlishka」は偽装しようとしている本物のWEBサイトからコンテンツを取得し、完全な複製サイトを構築します。そして、被害者が自分のユーザー名、パスワード、その他の認証情報を入力するとそのデータは本物のWEBサイトへ送信され、まるで正常にログインが成功したかのように振舞います。

デモビデオではフィッシングサイトでGoogleアカウントの奪取に必要であるユーザー名、パスワード、2要素認証コードを入力するように仕向ける方法を紹介しています。

このようなフィッシング攻撃は、デモにあるようなGoogleだけにとどまらず、あらゆるWEBサイトに対して使用される可能性があります。

一般ユーザーの場合、このような攻撃に対する有効な対策のひとつはパスワードマネージャーの機能を利用する事です。私も愛用している1Passwordに代表されるパスワードマネージャーはブラウザのプラグインも提供しています。プラグインの機能によりフォームへパスワードを自動入力できますが、パスワードマネージャーはドメインをチェックするため、本物のURLそっくりであってもパスワードマネージャーは決して認証情報を入力しません。これはとても強力な機能なのですが、残念ながら多くの一般ユーザーは(有料であるといった理由で)パスワードマネージャーを利用していません。

「Modlishka」は2要素認証であるからといって安心している意識の低いユーザーの目を覚ます材料になるかも知れませんが、多くのサイバー犯罪者に新たな攻撃手段を提供してしまった事は間違いないでしょう。