すべての投稿に戻る
公開日 · 著者 Renaud Deraison

電話はヘルプデスクの内側からかかっていた

BlackFileと呼ばれる新たな恐喝集団が、小売やホスピタリティ業界の従業員に電話をかけ、ITを名乗り、企業のものに見える偽のログインページに認証情報とワンタイムコードを入力させ、その後、本物のアカウントに自分たちのMFAデバイスを登録しています。電話そのものは、ブラウザに何ができようと影響を受けません。利用者が入力するページのほうは、別です。

BlackFileと呼ばれる新たな恐喝集団が今週、社内ITを装って各所を回っています。電話をかけてきます。とても親切です。間違いなくあなたが抱えているはずの小さな問題を一緒に解決し、企業のものに見えるページにログインするよう促し、認証アプリが今出した6桁のコードを尋ね、そしてあなたの会社に身代金を要求します。これは、よく考えてみると、実に効率のよい商売です。

4月24日、BleepingComputerが報じたのは、Palo AltoのUnit 42がCL-CRI-1116として追跡し、BlackFileとしても、UNC6671としても知られ、CrowdStrikeが(別個に、しかしおそらく同じ人物、少なくとも縁戚関係にある集団として)Cordial Spiderと呼んでいる、金銭目的のクラスタです。分類はぐちゃぐちゃです。挙動はそうではありません。

挙動は、あなたの身に起きる順番に並べると次の通りです。

  1. 電話がかかってきます。発信者IDは社内ITか、それに近いものを示しています——なりすましのVoIP、あるいは詐欺的なCNAM(電話網が番号と並べて表示する、人間が読める名前のことで、これは認証がさほど厳密ではないことが判明しています)。電話の相手は親しげで、少しすまなそうです。お忙しいところ申し訳ありませんと言います。あなたのアカウントに小さな問題があります。
  2. その小さな問題を直すために、向こうはあなたに、これからSMSでリンクを送る——あるいは口頭でその場まで誘導する——企業ページにログインしてほしいと言います。ページはきちんと見えます。会社のロゴがあります。文言も適切です。それでも、本物のページではありません。
  3. あなたはパスワードを入力します。ページは認証アプリのワンタイムコードを尋ねてきます。それも入力します。
  4. ページはお礼を言って、たいていスピナーを表示します。あなたは電話を切ります。
  5. 攻撃者は別の場所にある自分のノートPCで、あなたが入力したばかりのパスワードと、入力したばかりの6桁のコードを使い、次の90秒以内にあなたの本物のSSOポータルにログインし、そして——ここが洗練されている部分です——あなたのアカウントに自分のMFAデバイスを登録します。
  6. 攻撃者はもうあなたです。彼らはポケットの中に居座る恒常的な第二要素を手に入れました。あなたの第二要素もまだ動くので、誰も気づきません。
  7. 彼らはSalesforceに行き、SharePointに行き、「confidential」や「SSN」という語を含むファイルを探し、できる限り何でもダウンロードし、一週間後にあなたのCEOがGmailのアドレスから七桁の身代金メールを受け取ります。BleepingComputerの報告によれば、ときには従業員までスワッティングの脅迫を受けることがあり、これはたいていの恐喝集団がわざわざ提供しないレベルのカスタマーサービスです。

いずれにせよ。

攻撃が、正確にはどこで起きているのか

このチェーンのどの部分がどこで動くのかを正確に押さえる価値があります。チェーン全体が同じ場所にあるわけではないからです。

電話は電話線の上を走ります。電話は電話の形をしています。どんなブラウザも、どんなノートPCも、パッチを当てられるどんなOSも、電話そのものに対して何かできるわけではありません。なぜなら電話はノートPC上にないからです。(人を教育することはできます。休憩室にポスターを貼ることもできます。本物のヘルプデスクが、正規の通話のあと毎回フォローアップのメールを送ることもできます。これらは全部役に立ちますが、電話は、業界の言い回しを借りるなら、人の形をした問題です。)

偽のログインページはブラウザの中で動きます。具体的には、その従業員がたまたま業務用ノートPCで開いているなんらかのブラウザの中で、最後に使っていたなんらかのプロファイルで、たまたま持ち歩いているあらゆるセッションやクッキーや保存パスワードのオートフィルとともに動きます。この部分はコンピュータの形をした問題です。

本物のアカウントへのMFA登録は攻撃者のノートPC上で、攻撃者のブラウザで、正規のSSOポータルに対して動きます。これはユーザーのブラウザの問題ではまったくありません。これは、誰かがパスワードと現在のOTPを知っているときに、SSOポータルがMFAの登録をどう扱うかという問題です。あなたのIdP(SSOを動かすアイデンティティ・プロバイダー——Okta、Entra ID、Google Workspace、あなたのパスワードが正しいと判定したやつ)は、「パスワードと最新のOTPを持っている」ことを、もう一つの要素を追加するに足る十分な証拠と扱います。これはポリシーの選択であり、たいていの企業がデフォルトで出荷されるポリシーでもあります。なぜなら代替案は、利用者が電話を取り替えるたびに自分自身を締め出すことだからです。

SalesforceとSharePointからのデータの吸い出しもまた、攻撃者のノートPC上で、本物のSaaSに対して、攻撃者の鋳造したばかりの第二要素を使って動きます。この部分は、厳密な意味では「従業員のブラウザに対する攻撃」ではありません。攻撃者がふつうの人として普通にログインしているだけです。なぜなら、この時点では攻撃者はふつうの人だからです。あなたの従業員のブラウザは、最後の三段階を傍観していました。

ですから、BlackFileを端から端まで防げる単一の技術レバーを探しているのなら、そんなものはありません。攻撃は、電話、偽ページ、IdPのポリシー、そして攻撃者のノートPCに分散しています。

あるものは——そしてこれはブラウザベンダーが信ぴょう性を持って何かを言える、唯一のチェーンの部分です——第二段階、つまり偽のログインページです。ページはどこかでレンダリングされなければなりません。どこでレンダリングされようと、従業員はそこに本物の認証情報と本物のOTPを入力します。ですから問いはこうなります——その特定の出来事を、いったいどんな種類のコンテナの中で起こさせたいのか?

第1段階 — 電話「お疲れさま、ITです」なりすましVoIP / CNAM親しげな口実リンクへ誘導人の形をした問題ブラウザは関与しない第2段階 — ブラウザ偽のログインページ利用者がパスワードを入力利用者がOTPを入力ページが描画 + 収集唯一のブラウザ形のステップBromureが何か言える場所第3段階 — IdPMFA登録攻撃者は収集した資格情報 + OTPでログイン自身のデバイスを登録Okta / Entra ID 上のポリシー利用者のブラウザ内ではない第4段階 — 攻撃者ノートPCSalesforce + SharePoint「confidential」を検索「SSN」を検索見つけたものをダウンロード攻撃者のハードウェア上で動作利用者の端末は関与しないBlackFileのチェーン、場所別電話、ブラウザ、アイデンティティ・プロバイダー、攻撃者のノートPC。四つの異なる端末。そのうち一つはあなたのもの。四つすべてを直せると言うブラウザベンダーは、何かを売り込んでいる。
BlackFileのチェーンを、各ステップが実際に動く場所で分割した図。Bromureは電話、IdPのMFA登録ポリシー、攻撃者のノートPC上で起こることには影響を及ぼせません。チェーンの中で唯一ブラウザの形をしたステップには、影響を及ぼせます。

ページはどこかにレンダリングされなければならない

そう。だからページはブラウザでレンダリングされます。どのブラウザで?

何もしなければ、それは従業員がたまたま使っていたどんなブラウザでもレンダリングされます——個人ノートPCのChrome、業務用ノートPCのEdge、たまたま手元にあったiPadのSafari。どのブラウザであれ、それは長らく使われ続けてきています。長らく存在し続けているプロファイルがあります。そのプロファイルにはおそらく、本物の社内SSOポータルのクッキーがすでに入っています。なぜなら従業員は毎朝仕事にログインしているからです。保存されたパスワードがあります。そして親切にも、本当の社内パスワードであるオートフィル候補があります——ただし、フィッシングドメイン上ではオートフィルは正しく起動しません(ブラウザはこれが得意です)。だから利用者は手で入力します。これも上手にやります。なぜなら一万回はやってきたからです。

偽のページにはそれらのクッキーは要りません。偽のページに必要なのは、ページがパスワードを尋ねたときに指がする動作を、利用者の指が続けてくれることだけです。偽のページはパスワードを集めます。偽のページはOTPを集めます。偽のページの仕事はおしまいです。

しかしここに、私の中で気になっている問いがあります。なぜ従業員の個人用ブラウザが、長く使われたプロファイルとこれまでログインしたあらゆるサイトのコレクションを抱えたまま、偽の企業ログインページがそもそもレンダリングされる場所だったのか? ページは企業のものを名乗っています。利用者は職場にいます。利用者は、本人の認識では、仕事のことをしています。なぜ「企業のログインページ」が、「いとこから送られてきたSpotifyの共有リンク」と「2018年のEtsyアカウント」と同じソフトウェア環境でレンダリングされるのか?

これが、思うに、問いです。

管理ブラウザ論、控えめバージョン

ここに、この攻撃に対するBromureの主張の、控えめで、狭く、誠実なバージョンを示します。

IT部門はBromureを承認された企業ブラウザとして配布できます。ノートPC上の唯一のブラウザではなく——利用者は個人用にChromeやSafariを引き続き持っていてかまいません——しかし、設定済みで、登録済みで、企業のSaaSが住むはずの場所として目に見えて印が付いている、唯一のブラウザとして。Bromureには、まさにこのためだけの設定タブ、Enterpriseタブがあります。HTTPプロキシのフィールドと、内部ルート証明書のスロット。設定はその二つです。それだけです。意図的に、それだけ。組織は二つを一度設定し、企業CAを信頼し企業プロキシ経由でルーティングするようプリセットされたBromureプロファイルを従業員に配布し、そのプロファイルが目に見える形で、企業のSaaSが住む場所であるようにします。

(私たちはEnterpriseタブが完全なMDMの管理面だと主張しているわけではありません。テキストボックスが二つあるだけです。よく選ばれた二つのテキストボックスは、ときに十分です。)

Bromureの中では、各タブが自分専用の使い捨てLinux VMで、自分専用のはかないプロファイルを持っています。だから企業のSalesforceタブを開けば、それは企業プロキシを知り企業CAを信頼するマネージドVMの中で開きます。従業員が別途、いとこのSpotify共有リンクを開けば、それは別のVMの、それらを何ひとつ持たない別のプロファイルで開きます。

さて、電話はそれでも、まったく同じやり方でかかってきます。利用者はそれでも、リンクへ誘導されます。変わるのはこれです。

  • リンクをクリックすると、それはあるBromure VMの中で開きます。デフォルトでは、それは従業員の本物のSalesforceセッションと同じVMの中では開きません。(Bromureのプロファイルは静かに合流したりしません。「使い捨てリンク」プロファイルでロードされるページは、「企業Salesforce」プロファイルのクッキーを読めません。なぜならそれらは別々のVMに、別々のネットワークスタックと別々のディスクで存在しているからです。)
  • 利用者はおそらく、それでも本物の企業の認証情報と本物のOTPをページに入力します。Bromureはタイピングを止めません。 ここが誠実なところです。
  • ページが捕えるセッショントークン(あるいはキットによってはクッキーだけ)は、利用者がもうすぐ閉じるプロファイルの中、もうすぐ消し去られるVMの中、企業の何かに対する特権的な関係を一切持たない場所で生きています。捕えられたトークンは、その意味で、低品質です——タブの土産物です。

この最後の点については、慎重でいたいと思います。これはちょうど、過剰に主張しがちな種類の話だからです。

文書化されたBlackFileのチェーンでは、捕えられたトークンは、実は本物のSalesforceにログインするためには使われません。攻撃者は認証情報とOTPを使って、自分のノートPCから本物のSSOポータルにログインし、自分のMFAデバイスを登録します。捕えられたクッキーが本物の社内セッションに対して再生されることは、いずれにせよなかったでしょう。なぜならそれはフィッシングドメインのクッキーであって、本物のドメインのではないからです。BromureのVM単位の隔離が効いてくるのは、偽ページの背後にある脚です——タブ側のいたずら(攻撃者のエンドポイントへのトークン抜き取り、別のクッキーを読もうとする後続スクリプト、追加のペイロードを落とすリダイレクト連鎖)はすべて、ファイルシステム、ネットワーク、プロセスツリーが、ノートPCの残りや本物の社内ブラウザセッションから封印された、あるVMの中に閉じ込められます。偽ページは偽ページです。ただ、箱の中にいる偽ページであることが許されているだけです。

ホストブラウザ — 一つのプロファイル本物のSalesforce今朝ログイン済み「corp-login.help」電話で渡されたリンク共有プロファイル• 一つのクッキー入れ• 一つのオートフィルDB• 一つの拡張機能リスト• 一つのファイルシステム• 企業セッションがすぐ隣に座っている• タブの見た目に意味のある違いがない利用者から見た景色「本物のログインページに見える」「いつもブラウザが入れてくれる」このタブが非管理だと示す可視のヒントはない管理されたBromure — 二つのVMVM · 企業 — 管理Salesforce企業ルートCAをインストール企業HTTPプロキシ企業セッションを保持VM · 信頼できないリンク「corp-login.help」企業CAなし企業プロキシなしはかなく、閉じれば消えるVM間の共有:なし• 別々のクッキー、別々のオートフィル• 別々のカーネル、別々のディスク• 別々のIP、別々のプロセスツリーリンクのタブを閉じれば → そのVMは存在を終える利用者から見た景色「このタブは非管理プロファイルにある」「企業プロファイルなら絶対にこれを開かない」可視のヒントは防御の一部
左:単一のホストブラウザ。偽の企業ログインページは、本物のSalesforceセッションと並んでレンダリングされ、クッキーは共有、オートフィルも共有、クッキー入れも一つきり。右:管理されたBromure。企業のSalesforceプロファイルは、企業ルートCAとプロキシでプリセットされた専用VM。フィッシングのリンクは、企業VMとはなんの関係もない別のVMで開きます。

可視のヒント、これがこの図ではかなりの仕事をしていて、声に出して言っておく価値があります。「企業のSalesforce / SharePoint / Workdayタブが、適当なリンクのタブと目に見えて違って見える」という、ただそれだけを役目にするマネージドブラウザの配備は、それ自体として、些細とはいえない防御です。なぜならBlackFileの典型的な被害者は、木曜日の午後4時45分に電話を受けた疲れた人だからです。可視の区別はUIの飾り付けではありません。それが、まさに勝負どころです。

これが直さないこと

引き続きこの点については正直でいたいと思います。なぜなら失敗の典型例は、自社製品がいかに攻撃を防いだはずかを説明しておきながら、よく読むと別の攻撃を説明している、というベンダーだからです。

電話は止めません。 電話は電話の上にあります。Bromureは電話の上では動かないし、電話を見ないし、電話について意見もありません。利用者が電話に出て、親しげな声に「あなたのアカウントに小さな問題があります」と思い込まされれば、利用者は偽のログインページを見ようとするでしょう。私たちはページがどのブラウザでレンダリングされるかは変えられます。利用者が見るかどうかは変えられません。

タイピングは止めません。 利用者が偽ページに本物の認証情報と本物のOTPを入力すれば、その認証情報とOTPはどこでページがレンダリングされていようと、もう攻撃者の手元にあります。ページが使い捨てVMに乗っているという事実は、利用者が今まさに入力した内容を取り消してくれません。

MFA登録は止めません。 MFA登録の脚は攻撃者のノートPC上で、正規のIdPに対して進みます。Bromureは攻撃者のノートPC上で動きませんし、BromureはIdPでもありません。ここでの緩和策はIdP側にあって、それは退屈なやつです——「新規MFA登録には強化認証を要求」をオンにする、登録を企業ネットワークやマネージドデバイスに限定する、新規要素登録に対してアラートを上げる、そして代替案は、利用者が新しい電話を買ったときに自分自身を締め出すことだ、と受け入れる。これは今日、どのOktaやEntra IDの管理者でも下せる設定の選択であり、多くは下していません。それが——控えめに言って——ブラウザの話よりCISOの夜を眠れなくすべき、この物語の部分です。

厳密な意味では、リアルタイムのAiTMプロキシ攻撃を止めません。 別の系統のフィッシングキット(Evilginx、Modlishka、Caffeine、1件あたり2,500ドルで貸し出されるAiTM-as-a-service、Microsoft 365に対する支配的な攻撃パターンとなったもの)はリアルタイム中継を行います。利用者はリアルタイムで正規のIdPにプロキシするページに入力し、IdPが発行するセッションクッキーはプロキシに渡り、プロキシはそれを攻撃者へ手渡します。BlackFile風の電話が利用者をそういうページに誘導する、と想像してみると——現状のBlackFileがそうしていると説明されているわけではありませんが、このカテゴリーが向かっている先ではあります——その場合、捕えられたクッキーは正規IdPに対する本物のセッションクッキーであり、問いは「それが別の場所から再生できるか」になります。それは別の記事で、もっと難しい話で、誠実な答えはセッション束縛の機構(DBSC、mTLSバウンドトークン)にかかっていて、それらはほとんどIdPの仕事で、ブラウザの仕事はその一部にすぎません。私たちはここで魔法の杖を振るつもりはありません。

マネージドのBromureが狭く行うこと——それは偽ページが、非管理で、はかなく、管理された企業環境とは目に見えて区別される場所でレンダリングされるようにすることです。キットがページの後で繰り出すかもしれない手口(拡張機能のインストール、ホストファイルシステムへの書き込み、永続化)の爆発半径を、消えていくVMの中に閉じ込めます。そして、説明されているBlackFileのチェーンに関しては、それ自体としては、攻撃者が続けて自分のMFAデバイスを登録するのを止めません——それはIdPの仕事です。私たちはチェーンの中の四つの端末のうち一つを和らげているのであり、それは私たちが動いている唯一のものです。

なぜこれが、結局のところ唯一の道なのか

いずれにせよ。まあ、聞いてください。一歩引いてみましょう。

BlackFileについて言える特筆すべきことは、それが実に効率のよい商売だということです。彼らが小売とホスピタリティを選んだのは、小売とホスピタリティには大量の従業員、分散したシフト、勤務時間外スケジュール、本当に従業員に電話してくる本物のITヘルプデスクチーム、そして「自分が原因でレジが止まった」になど絶対なりたくない、極度に疲弊した人々の名簿があるからです。彼らがビッシング(音声フィッシング)を選んだのは、ビッシングがスケールするから(電話の前の一人で、一時間に十二人のターゲットに電話できて、成功率はこの業界の基準では信じがたいほど高い)、そして電話はチェーンのうちパッチを当てられない部分だからです。彼らが認証情報とOTPを刈り取るのは、認証情報とOTPが、2026年でもいまだに、十年にわたるそうあるべきでないと説くプレゼンテーションにもかかわらず、ほとんどの企業の正面玄関だからです。

ブラウザが影響を及ぼせるチェーンの部分は小さい。四つの端末のうち一つです。BlackFileを端から端まで打ち負かすと主張しているからブラウザを買うべきではありません。それが上手にできる唯一のことを上手にやるからブラウザを買うべきです——企業セッションを管理された、識別可能な場所に保ち、適当なリンクのセッションを、閉じれば存在を終える場所に保つ——そして退屈で、地味な、IdP側の制御と組み合わせるべきなのです。輪を本当に閉じるのは、それらです。

電話は鳴り続けます。ページは読み込まれ続けます。問いはただ、それが正確にどこで読み込まれ、読み込まれるときに何がその周りにあるか、です。それは、変えられることが分かっています。

ソース: