フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細：セキュリティニュースアラート

大規模なシングルサインオン攻撃の実態が、DNS分析によって明らかになった。Evilginxを使った高度な中間者攻撃が確認され、短縮URLや偽装サブドメインを駆使する手法が従来の検知を回避していたことが判明した。

[後藤大地，ITmedia]

　「Evilginx」と呼ばれるオープンソースの高度なフィッシング用フレームワークを使用したシングルサインオン（SSO）中間者攻撃が確認された。

　Evilginxは、利用者と正規のWebサイトの通信の間に入りこむ中間者攻撃（AITM・MITM）を採用することで、ログイン認証情報やセッションCookieを窃取する仕組みを持つ。多要素認証（MFA）を回避できる点から、近年サイバー犯罪での利用が確認されている。

多要素認証を回避する攻撃手法の詳細とは？

　Infobloxは2025年12月1日（現地時間）、DNSの分析を通じて米国の大学や教育機関を狙った大規模なSSO攻撃のインフラを特定したと発表した。同社はDNSやDHCP、IPAM（IP Address Management）の統合管理に強みを持つ企業だ。

　観測された攻撃では2025年4月以降、少なくとも米国内の18の大学や教育機関が攻撃対象となっていた。攻撃は学生宛の電子メールを起点としており、「TinyURL」といった短縮URLサービスを使ったリンクが送付されていた。リンク先には正規のSSOサイトになりすましたサブドメインが利用され、攻撃者は短時間で失効するフィッシング用URLを設定し、サーバの所在を隠すために「Cloudflare」などのプロキシサービスを利用していた。この構成とEvilginxにより、URL解析やフロントエンドのコード検査など、従来の検知手法で把握することが困難だったとしている。

　DNSに着目した分析により、攻撃活動に一貫したパターンが存在することが確認されている。初期のWebサーバのフィンガープリントや大規模なパッシブDNSデータを用いることで、追跡用のシグネチャを作成し、70件近くの関連ドメインを洗い出している。

　調査ではフィッシング用サブドメインが正規サービス名と類似したラベルを持つ事例が多く確認されている。特定の認証サービス名が共通して使われており、正規の大学SSOページと外見上の違いが分かりにくい構成だったと説明している。DNSクエリの量を分析した結果、カリフォルニア大学サンタクルーズ校、カリフォルニア大学サンタバーバラ校、サンディエゴ大学、バージニア・コモンウェルス大学、ミシガン大学が多く狙われていたことが判明している。

　攻撃インフラの変遷も明らかにしている。当初は「GoDaddy」や「Namecheap」といった専用サーバのホスティング事業者が使われていたが、その後Cloudflareプロキシ経由の構成に移行していた。ドメインの再利用があったことで、攻撃の全体像や時系列の整理が可能になったと説明している。

　Evilginxの検知率が低い現状についても言及している。近年の進化版（Evilginx Proなど）ではワイルドカード証明書の利用や高度なbot判別、偽装ページの設置、DNS事業者との連携強化、複数ドメイン対応、スクリプトの難読化などの機能が加わり、識別は難しくなっていると指摘している。ただし、攻撃にドメイン名が利用される限り、DNSの痕跡が残る可能性があるとも述べている。

　同社は今回の分析で得られた活動指標の一部を示して、関連ドメインをDNSレベルで遮断する対策を推奨した。顧客による情報共有が他の組織の防御に寄与した点も触れられており、DNS分析が侵害や情報漏えいを未然に防ぐ手段となり得ることを示す事例だとしている。