【ITニュース解説】New VoidProxy phishing service targets Microsoft 365, Google accounts

VoidProxy（ボイドプロキシ）は、Microsoft 365やGoogleアカウントを狙う、新しいタイプのフィッシング攻撃を支援するサービスだ。このサービスは「Phishing-as-a-Service（PhaaS）」、つまり「フィッシングをサービスとして提供する」形態で運営されている。通常、フィッシング攻撃には偽サイトの作成やメール送信といった技術的な知識が必要だが、PhaaSの登場により、技術力の低いサイバー犯罪者でも容易に高度なフィッシング攻撃を実行できるようになってしまった。VoidProxyは、その中でも特に巧妙な手口を使う点が特徴である。

VoidProxyの主な標的は、企業で広く使われるMicrosoft 365や個人利用も多いGoogleアカウントだ。これらのアカウントは、メール、文書、カレンダーなど、デジタル生活や業務の重要な情報源となるため、乗っ取られた場合の被害は甚大だ。VoidProxyは、Oktaのようなサードパーティのシングルサインオン（SSO）プロバイダーで保護されているアカウントも標的にしている。SSOとは、一度の認証で複数のサービスにログインできる便利な仕組みだが、その認証部分が破られると、紐づく全てのサービスが危険に晒される可能性がある。

このVoidProxyが利用する技術は、「リバースプロキシ型フィッシング」と呼ばれるものだ。一般的なフィッシングは、正規のサイトとそっくりな偽のウェブサイトをユーザーに見せかけ、そこでログイン情報（IDとパスワード）を入力させて盗む手口が主流だった。しかし、リバースプロキシ型フィッシングは、さらに巧妙だ。これは、ユーザーと正規のサービス（Microsoft 365やGoogleなど）の間に、攻撃者が用意したサーバーが「中継役」として入り込む仕組みを指す。

具体的には、ユーザーがフィッシングメールなどに記載されたリンクをクリックすると、一見すると正規のログインページそっくりなサイトにアクセスする。しかし、実際にはこのサイトは攻撃者のリバースプロキシサーバーが生成している。ユーザーがIDとパスワードを入力すると、その情報は一度攻撃者のサーバーを通過する。攻撃者のサーバーは、その情報を受け取ると、リアルタイムで正規のサービスにログインを試みる。正規サービスからの応答、例えば多要素認証（MFA）の要求も、攻撃者のサーバーを介してユーザーに表示される。

このリバースプロxy型フィッシングの最大の脅威は、多要素認証（MFA）を回避できる点にある。MFAは、IDとパスワードに加えて、スマートフォンアプリで生成されるワンタイムパスワードや生体認証など、複数の要素を組み合わせて認証する仕組みであり、セキュリティを大幅に向上させると考えられてきた。しかし、VoidProxyのようなリバースプロキシ型フィッシングは、MFAの認証プロセス全体をリアルタイムで中継してしまう。つまり、ユーザーがフィッシングサイト上でワンタイムパスワードやその他の認証情報を入力した場合、その情報も攻撃者のサーバーを経由して正規サービスに渡り、MFAを突破されてしまうのだ。記事では、FIDO2のような最新の認証技術で保護されたアカウントも、ユーザーがフィッシングサイト上で認証を完了させれば突破される可能性があると指摘している。これは、FIDO2認証がリバースプロキシによって乗っ取られることを意味する。

攻撃の流れは以下のようになる。まず、攻撃者は標的に対して、緊急性や重要性を装ったフィッシングメールやメッセージを送る。例えば、「パスワードの有効期限が切れます」「アカウントに不審なアクティビティがありました」といった内容だ。ユーザーが焦ってメール内のリンクをクリックすると、VoidProxyが生成する偽のログインページに誘導される。このページは、URLや見た目が正規サイトと非常に似ているため、ユーザーは騙されやすい。ユーザーがIDとパスワードを入力すると、VoidProxyはそれらを正規サイトに中継し、正規サイトからMFAの要求が返ってくると、それもユーザーに表示する。ユーザーがワンタイムパスワードなどを入力すると、VoidProxyはそれも正規サイトに中継し、MFAを突破してログインを完了させる。この一連のプロセスで、VoidProxyはユーザーのセッションクッキー（ログイン状態を維持するための情報）などを盗み取り、それを使って正規サービスにログインし、アカウントを乗っ取る。一度セッションクッキーが盗まれると、攻撃者はユーザーのパスワードを知らなくても、正規サービスにアクセスし続けることができる。

このような高度なフィッシング攻撃から身を守るためには、いくつかの対策が重要だ。まず、不審なメールやメッセージに記載されたリンクは安易にクリックしないことが大切だ。メールの送信元や内容に少しでも違和感を感じたら、公式ウェブサイトから直接ログインするなど、別の方法で確認する習慣をつけよう。また、ウェブサイトのURLを常に確認することも重要だ。正規のURLと少しでも異なる部分がないか、SSL/TLS証明書が有効であるか（URLの左に鍵マークが表示されているか）などを確認する。ただし、VoidProxyのような攻撃では、見た目上のURLが正規サイトとほとんど同じに見えるように偽装されることもあるため、注意が必要だ。

MFAは依然として強力なセキュリティ対策だが、リバースプロキシ型フィッシングのようにそれを回避する手口があることも理解しておくべきだ。MFAを突破するフィッシング攻撃に対しては、ログインの際に表示される正規サービスのドメイン名をMFAアプリやハードウェアトークン側で確認できるような「フィッシング耐性の高いMFA」の利用が有効な場合もある。企業のシステム管理者であれば、セキュリティソリューションを導入し、異常なログイン試行や不審なウェブサイトへのアクセスを検出・ブロックする仕組みを構築することが推奨される。従業員に対しては、フィッシング攻撃の手口や危険性について定期的にセキュリティ教育を実施し、一人ひとりのセキュリティ意識を高めることが何よりも重要だ。最新のフィッシング攻撃は非常に巧妙化しており、常に新しい手口が登場している。このVoidProxyの事例からもわかるように、技術的な対策だけでなく、ユーザー自身の注意深さと知識が、アカウントを守るための最後の砦となる。