この記事は、Krebs on Security、Abnormal AI、Dark Reading、Infosecurity Magazine など複数の海外メディア・セキュリティ機関の報道を要約・解説したものです。
セキュリティ企業Abnormal AIの研究チームが、「Starkiller」と呼ばれる新型のPhaaS(Phishing-as-a-Service)プラットフォームに関する分析レポートを公開しました。従来のフィッシングキットとは異なり、本物のログインページをリアルタイムでプロキシすることで、MFA(多要素認証)を含む認証フロー全体をリアルタイムに中継し、認証済みセッションを奪取できる設計になっているとされています。MFA自体を「破る」のではなく、MFAが正常に機能している状態を悪用して無力化する点が特徴です。
なお、同名の正規レッドチームツール(BC Security社製)とは無関係であると報じられています。
従来のフィッシングキットとの違い
一般的なフィッシングキットは、ターゲットとなるサービスのログインページをHTMLで静的にコピー(クローン)して使用します。しかしこの方式には弱点があり、本物のサイトがUIを更新すると偽ページとの違いが露呈してしまいます。また、セキュリティベンダーがフィッシングページのテンプレートをフィンガープリント化してブロックリストに登録できるとされています。
Starkillerはこれらの弱点を回避する設計になっているとのことです。Abnormal AIの分析によると、以下のような仕組みが報告されています。
- Dockerコンテナ内でヘッドレスChrome(非表示ウィンドウのブラウザ)を起動し、ターゲットブランドの本物のログインページを読み込む
- 攻撃者のインフラを経由するリバースプロキシとして動作し、被害者と正規サイトの間に介在する
- 被害者が入力したユーザー名・パスワード・MFAコードをリアルタイムで正規サイトに転送し、返ってくるレスポンスも被害者に返す
- この過程で生成されるセッションCookieとトークンを攻撃者が取得し、認証済みのアカウントアクセスを確立する
つまり、被害者は本物のサイトで本物の認証を行っているため、ログインページの見た目にも通信内容にも不審な点がなく、MFAも「設計通りに正常に機能している」にもかかわらず突破されるとされています。
SaaSレベルの「運用体験」
Starkillerのもう一つの特徴は、攻撃者向けの「製品としての完成度」にあるとされています。報道によると、「Jinkusu」と名乗る脅威グループが開発・販売しており、以下のような機能をSaaSのようなサブスクリプションモデルで提供しているとのことです。
- ターゲットの画面操作をリアルタイムでライブストリーム監視する機能
- 全キーストロークを記録するキーロガー
- Cookie・セッショントークンの窃取によるアカウント乗っ取り
- ターゲットのジオトラッキング(位置情報追跡)
- 新しい認証情報が取得された際のTelegram自動通知
- 訪問数・コンバージョン率・パフォーマンスグラフなどのキャンペーン分析ダッシュボード
- Google、Microsoft、Apple、Amazon、PayPal、各種銀行などのブランドをワンクリックで選択できるURL偽装ツール
Abnormal AIの研究者は、Starkillerが「高度なリバースプロキシ技術をターンキー方式のSaaSワークフローに変換し、スキルの壁を劇的に下げている」と評価しているとのことです。
また、Jinkusuはユーザーフォーラムを運営しており、利用者同士がテクニックの共有や機能リクエスト、デプロイのトラブルシューティングを行っているほか、Telegramでの専用サポートや月次のフレームワークアップデートも提供されていると報じられています。
なぜ従来の防御策では止められないのか
Abnormal AIは、Starkillerのようなフレームワークに対して従来の検知手法が不十分である理由を以下のように分析しています。
- 静的ページ解析:Starkillerは本物のサイトをプロキシしているため、偽ページのテンプレートが存在しない
- ドメインブロックリスト:URL偽装機能(@記号トリックや短縮URLなど)により、正規ドメインと見間違えやすい表示が作られる
- レピュテーションベースのURLフィルタリング:セッションごとに動的にフィッシングページが生成されるため、フィンガープリントが一定しない
Dark Readingの報道では、Abnormal AIの研究者が「MFAが完了したかどうかだけを確認する防御姿勢では不十分」という趣旨の指摘をしていると伝えられています。
日本のセキュリティ担当者への影響と推奨対策
Starkillerが標的として掲げるブランドリストにはGoogle、Microsoft、Appleなど、日本企業でも広く利用されているサービスが含まれています。このようなリアルタイムプロキシ型フィッシングは、国や言語に依存しない攻撃手法であるため、日本のユーザーや組織も標的になりうると考えられます。
特にMFAを「導入済みだから安全」と考えている組織にとって、今回の報道は認識を改めるきっかけになるかもしれません。報道で示されている対策の方向性を踏まえると、以下のアクションが検討に値するでしょう。
- 行動ベースの検知への移行:ログイン成功後のセッションが異常な場所・デバイスから再利用されていないか監視する
- FIDO2/WebAuthnの導入検討:フィッシング耐性のある認証方式はリバースプロキシ攻撃に対しても有効とされている(セッショントークン自体は盗まれうるが、認証フロー自体を騙すことが困難)
- セッションの異常検知:同一セッショントークンが地理的に離れた場所から短時間に使われるパターン(impossible travel)を検知するルールを導入する
- エンドユーザーへの注意喚起:「ログインページが本物に見えても安全とは限らない」という点を啓発する(ただし技術的対策が優先)
出典:
- Krebs on Security – ‘Starkiller’ Phishing Service Proxies Real Login Pages, MFA
- Abnormal AI – Starkiller Phishing Framework(一次情報)
- Dark Reading – Best-in-Class ‘Starkiller’ Phishing Kit Bypasses MFA
- Infosecurity Magazine – Starkiller: New ‘Commercial-Grade’ Phishing Kit Bypasses MFA
- IT Pro – Starkiller: Cyber experts issue warning over new phishing kit
コメント