研究熱心なホワイト側の方は時にしてブラック側になってしまう。まるでスターウォーズのダースベーダーの様な記事が出ていました。
www.zdnet.com
セキュリティ研究者によって今年の初めに公開された新しい侵入テストツールは、かつてないほど簡単にフィッシング攻撃を自動化することができ、さらに2要素認証(2FA)によって保護されたアカウントのログイン操作を通過させることさえできます。
名前のModlishka - mantisのためのポーランド語の英語の発音 - この新しいツールはポーランドの研究者PiotrDuszyńskiによって作成されました。
Modlishkaは、ITプロフェッショナルがリバースプロキシと呼ぶものですが、ログインページとフィッシング操作を目的としたトラフィック処理のために変更されました。
Gmail、Yahoo、ProtonMailなど、ユーザーとターゲットWebサイトの間に位置します。フィッシングの被害者はModlishkaサーバー(フィッシングドメインをホストしている)に接続し、その背後にあるリバースプロキシコンポーネントが偽装したいサイトに要求を出します。
被害者は正規のサイトから正規のコンテンツを受信します。たとえばGoogleなどですが、すべてのトラフィックと被害者の正規のサイトとのやり取りはすべて通過し、Modlishkaサーバーに記録されます。
(ZD Net記事より引用)※機械翻訳
◆キタきつねの所感
ZD Netの記事にある図を見た方が早いのですが、要は中間者攻撃です。認証情報をリアルタイムに窃取できるツールなのですが、これ・・・そのままハッカーが使いそうな気がします。GitHubで公開している様です。
嫌らしいのは、1件1件、中間者攻撃のページ(例えばGmailアカウント用)を作りこむ必要がないところです。
このポーランドの研究者(ホワイト?)が何のためにこのツールをリリースしたのか分かりませんが、正規ページの情報からリアルタイムで中間者攻撃のページを自動生成してくれる様で、テンプレート不要と記事にあります。似た様なツールは既にDark/Deep Webにあるのかも知れませんが、素人が容易にこうした攻撃ツールを元に、フィッシングを試行してくるきっかけにもなりそうです。
ある意味、2要素認証の信頼度を落す発表だったのではないかなと思います。
こうしたツールの弱点は、中間者攻撃であるが故にHTTPS接続ではないところですが、HTTPでつなぐ様なシステムであれば、フィッシングが成功すれば、利用者は簡単に騙せてしまうので、日本でも同じ手法での攻撃事例は出てきそうな気がします。
FIDO認証はこの攻撃に耐えうる仕組みではありますが、既存のOTP等の技術の寿命が縮まりつつある、そんな風にも感じました。
更新履歴
