F5 BIG-IP APM と分散クラウド ボット防御を使用してフィッシング プロキシから MFA を保護する

リアルタイム フィッシング プロキシ攻撃は、テキスト、電子メール、または Web ページ経由で配信されるフィッシング メッセージから始まります。 フィッシング メッセージには、攻撃者が管理するドメインにユーザーを誘導するリンクが含まれており、そのドメインはすべてのリクエストをターゲットapplicationにプロキシするように設計されています。 ユーザーの観点から見ると、ドメイン名を除いてすべてが正当なものに見えます。ドメイン名は通常、実際のものによく似たものが選択されます。 

フィッシング プロキシに騙されて、ユーザーは資格情報を入力します。 単一要素認証の場合、この資格情報の入力だけで、攻撃者はアカウントにアクセスできるようになります。 2FA の場合、リアルタイム フィッシング プロキシは資格情報を正当なapplicationに送信し、2FA 要求をトリガーします。 残念ながら、ユーザーは依然として正当なapplicationを使用していると信じているため、どのような要求にも同意して 2FA に従う可能性が高くなります。 

リバース フィッシング プロキシは、ほぼすべての形式の 2FA を侵害する可能性があります。

• ショートメッセージサービス (SMS) に基づく 2FA。 SMS 2FA では、認証システムがユーザーにワンタイム パスコード (OTP) を含むテキスト メッセージを送信し、ユーザーはそれをアプリに入力します。フィッシング プロキシ攻撃では、ユーザーは悪意のあるアプリにパスコードを直接入力し、そのパスコードは正当なアプリにプロキシされ、犯罪者にアクセスを許可します。 OTP が電子メールで送信される場合、同じロジックが 2FA に適用されます。 ユーザーがアプリに OTP を入力するメカニズムの場合、リアルタイムのフィッシング プロキシ攻撃によってその OTP にアクセスできる可能性があります。
• ハードウェア トークン 2FA。 ハードウェア トークンは、暗号化アルゴリズムに従って一定の時間間隔でキーを生成する物理デバイスであり、SMS ベースの 2FA の OTP と同じ目的を果たします。 ユーザーはデバイスを見て、applicationにキーを入力します。 リアルタイムのフィッシング プロキシに騙されてそのキーを悪意のあるapplicationに入力すると、攻撃者はアカウントにアクセスできるようになります。 ある意味では、トークンを SMS、電子メール、またはハードウェア経由で配信しても、リアルタイム フィッシング プロキシに違いはありません。 (対照的に、FIDO2/U2F ハードウェア キーは、ブラウザがオリジン バインディングでハードウェア キーと連携するため、フィッシングできません。)
• アプリベースの 2FA。 Google Authenticator や Duo Mobile などのモバイル認証アプリは、ハードウェア デバイスとほぼ同じ方法でトークンを生成します。 ここでも、ユーザーはトークンをアプリに入力する必要があります。ユーザーが騙されて悪意のあるアプリにトークンを入力した場合、攻撃者は実際のapplicationにアクセスできるようになります。
• プッシュベースの 2FA。 確かに、ユーザーがapplicationに OTP を入力する必要がある 2FA メカニズムは、ユーザーをだまして悪意のあるapplicationに OTP を入力させることで破られる可能性があります。 しかし、ユーザーがapplicationに OTP を入力する必要のないプッシュベースの 2FA はどうでしょうか? むしろ、プッシュベースのシステムでは、applicationはログイン要求を受信すると、プッシュ通知システムへの要求をトリガーし、その結果、ユーザーはモバイル デバイスで通知を受信します。 ユーザーはリクエストを承認するために一度クリックするだけです。 それが起こると、プッシュ通知システムはapplicationに API コールバックを行い、プッシュ認証が成功したことを通知し、applicationは認証プロセスを完了して、ユーザーにアクセスを許可します。 このシナリオでは、トークンはapplicationに直接渡されるため、フィッシング プロキシはトークンを受信することはありません。 それでも、applicationは最終的にプロキシ経由で認証されたセッション トークンをapplicationに配信するため、犯罪者はアカウントにアクセスできます。これにより、攻撃者はそのトークンをキャプチャし、被害者の ID を使用してapplicationにアクセスできるようになります。

EvilGinx、Muraena、Modlishka などのフィッシング プロキシ サービス (PhaaS) は、攻撃を開始するために必要なすべてのものを提供することで、犯罪者にとって攻撃を非常に容易にするため、リアルタイムのフィッシング プロキシ攻撃が増加すると予想されます。

• ユーザーを騙して悪質なサイトを訪問させるフィッシングメールテンプレート
• ターゲットアプリを模倣したホスト型ウェブサーバー
• 盗まれた資格情報を保存するデータベース
• リアルタイム監視
• セキュリティ研究者を阻止するための防御メカニズム
• ドキュメントと顧客サービス

フィッシング プロキシを通過するトラフィックには、次のような特徴があります。 ドメイン名は実際のサイトのドメイン名と一致しなくなり、ドメイン名の変更に合わせて HTML と JavaScript が変更され、タイミングと TLS 署名が変更される可能性があります。 Distributed Cloud Bot Defense は、ボットと人間を区別するために使用されるのと同じクライアント側およびネットワーク信号の多くを使用して、リアルタイムのフィッシング プロキシを区別する異常を検出し、MFA に対する最も一般的な脅威の 1 つを解決できます。

BIG-IP APM は、アプリと API 向けの柔軟で高性能なアクセス管理ソリューションです。 Active Directory、LDAP プロバイダー、RADIUS などのエンタープライズ ID サービスを SSO、アクセス フェデレーション、OAuth 2.0、SAML、OIDC などの最新の認証プロトコルに接続することで、applicationsに認証サービスを提供します。 

BIG-IP APM にはステップアップ認証のサポートが含まれており、SMS ベースの OTP 2FA をすぐに使用できます。 さらに、BIG-IP APM は、Cisco Duo、Okta、Azure AD などのほとんどの主要な MFA ソリューションと統合されます。 

BIG-IP APM は多くの企業の認証プロセスで中心的な役割を果たしているため、自動化を使用して MFA 保護を回避するリアルタイムのフィッシング プロキシ攻撃からユーザーを保護するために、Distributed Cloud Bot Defense を実装するのに最適な場所です。