GmailやOutlook、さらにAOLやYahooなどの主要なメールプラットフォームには、毎日何十億ものユーザーがログインしているが、新たに危険な攻撃が確認されている。もし2FA（二要素認証）が常に安全だと考えているなら、今一度考え直す必要がある。 この攻撃は「セッションハイジャックとリアルタイムでの認証情報傍受を通じて2FAを回避する」というものであり、以下に説明するような避けるべき危険なサインインページが存在する。 この警告を発しているのは、SlashNextという企業で、同社が公表したレポート（危険な画面イメージ例付き）によると、新たなフィッシングキットAstarothが問題となっている。感染したデバイス上で、このキットはユーザーと正規のアカウントサインインページとの間にMITM（マン・イン・ザ＿ミドル）攻撃を仕かけ、「ログイン資格情報、トークン、セッションCookieをリアルタイムで取得し、事実上2FAを回避する」という。 このAstarothは1月に初めて報告され、「ログイン資格情報だけでなく、2FA認証トークンやセッションCookieを生成と同時に高速で傍受する点」に特徴がある。特に危険なのは、「リバースプロキシ機能を利用したリアルタイム傍受によって、驚くほどすばやく正確に2FA防御を突破する」という点である。 SlashNextは次のように警告している。「従来のフィッシングキットは、静的な偽ログインページで主に一次的な認証情報を盗むだけで、2FAの層には手がおよばなかった。しかしAstarothはリアルタイムであらゆる認証データを傍受し、従来型のフィッシング手口やそれに対応するセキュリティ対策をほぼ無力化してしまう」

攻撃は、いつもリンクとクリックから始まる。だからリンクは安易にクリックしない

こうした攻撃は、いつもリンクとクリックから始まる。つまり、メールやメッセージ、ソーシャルメディアの投稿などに含まれるリンクを安易にクリックしないという基本的な対策を守れば、被害は完全に回避できる。このリンクをクリックすると、悪意あるサーバーへとリダイレクトされ、「被害者と正規のログインページ間の通信を中継しながら、ターゲットドメインの外観と機能を模倣する」もしグーグルを選択すれば、そのログインページが表示されるというわけだ。 セキュリティ警告は出ず、あたかも正規サイトにいると錯覚してしまうが、MITM攻撃によって入力データは盗まれ、裏で本物のページに転送される。「ユーザーエージェントとIPアドレスを利用することで、攻撃者は被害者のセッション環境を複製し、ログイン時の検知リスクを抑えている」のだ。 2FAによる安心感は、この攻撃によって完全に覆される。「SMSコードや認証アプリ、プッシュ通知などの2FAが導入されていても、Astarothは2FAトークンの入力をリアルタイムで傍受し、被害者が入力したトークンを即座に攻撃者側に渡す。攻撃者はウェブ上の管理パネルやテレグラム通知を通じてその情報を瞬時に得るようになっている」 2FAにはその他の課題もあるため、パスキーの普及が急速に進んでいるが、この攻撃ではブラウザからセッションCookieを盗み、攻撃者のデバイス上で被害者の認証済みセッションを再現することもできる。セッションCookieの盗難防止策はすでに存在するものの、依然として深刻な問題である。 このフィッシングキットは安価で流通している。「2000ドル（約30万3000円）で6カ月間の継続アップデートが提供され、最新の改良や回避技術を利用できる。購入前テストにも対応しており、サイバー犯罪市場での製品としての『信頼性』をアピールしている」という。 多くのフィッシング攻撃は今も単純な手口が主流だが、AIの発展によって見分けがつきにくい手口へと進化すると考えられる。対策は明らかだ。リンクをクリックしないことだ。 普段利用している方法以外のサインイン用ポップアップを使わないこと。再度の認証が必要な場合は、通常の方法でログインページにアクセスすること。正規のチャンネルを通じて自分でリクエストしたものでなければ、リンクを使わないことが肝要だ。