経営幹部を狙うフィッシング攻撃は年々高度化しているが、2025年末から活動が確認されている「VENOM」は、従来の防御策の前提を根底から崩す仕組みを持つ。MFAを設定しているから安心——そう思っている企業のセキュリティ担当者に、今すぐ読んでほしい話だ。

VENOMとは何か:クローズドな攻撃基盤という厄介な特徴

VENOMはPhaaS(Phishing-as-a-Service)基盤、すなわち「フィッシング攻撃を外注できるサービス」として設計されている。ただし、よくある地下フォーラムでの公開販売は行っておらず、クローズドアクセスで運用されている点が研究者にとって厄介だ。アンダーグラウンドコミュニティへの露出が少ないため、通常の脅威インテリジェンスで捕捉しにくく、発覚が遅れやすい。

攻撃対象はCEO・CFO・VP等のC-Suiteに限定されている。ランダムなばらまきではなく、特定個人をピンポイントで狙う「スピアフィッシング」に分類される。

攻撃チェーンの解剖:3つの巧妙な回避技術

1. UnicodeレンダリングのQRコード

攻撃メールはMicrosoft SharePointの共有通知を装い、高度にパーソナライズされている。QRコードをUnicode文字で描画することでスキャンツールによる検出を回避しつつ、攻撃をPCからモバイルデバイスへ移行させる。モバイルのブラウザはデスクトップに比べてURLバーの視認性が低く、フィッシングページを見分けにくいという特性を悪用している。

2. URLフラグメントへのターゲット情報隠蔽

ターゲットのメールアドレスはURLの#以降(フラグメント部分)にダブルBase64エンコードで格納されている。HTTPリクエストではフラグメントはサーバーに送信されない仕様のため、サーバーサイドのログやURL評価フィードには残らない。ログベースのセキュリティ監視を静かに回避する設計だ。

3. AiTM(Adversary-in-the-Middle)によるMFA突破

本攻撃の核心がここにある。フィッシングページはMicrosoftのログインフローをリアルタイムでプロキシし、入力された認証情報とMFAコードを即座にMicrosoft APIへ中継する。その結果、攻撃者はセッショントークンを取得する。MFAは「パスワード+ワンタイムコード」を保護するが、このトークンはログイン完了後に発行されるため、MFAを通過した後の「正規のセッション」を横取りできる。

また、デバイスコードフィッシング手法も確認されている。被害者を騙して不正デバイスへのアクセス承認をさせることで、パスワードリセット後も有効なトークンを入手する。この手法は過去1年で37倍に増加しており、VENOMもそのトレンドを取り込んでいる。

実務への影響:「MFAで十分」という時代の終わり

VENOMが示すのは、TOTP・SMS・認証アプリといった従来型MFAだけでは、AiTMフィッシングに対して防御不十分という現実だ。実務担当者が今すぐ検討すべき対策を以下に整理する。

① FIDO2認証への移行

FIDO2(パスキー・YubiKey等)はフィッシングに対してフィジカルに耐性を持つ。デバイスとドメインが紐づく仕組みのため、偽サイトでは認証が成立しない。経営幹部・特権アカウントから優先的に移行を進めることを強く推奨する。

② デバイスコードフローの無効化

利用していない場合は、Microsoft Entra ID(旧Azure AD)の条件付きアクセスポリシーでデバイスコードフローを無効化する。設定は 条件付きアクセス → 認証フロー → デバイスコードフロー から制御可能だ。

③ 条件付きアクセスによるトークン悪用防止

トークン発行後の横展開を防ぐには、継続的アクセス評価(Continuous Access Evaluation)やサインイン頻度ポリシーの強化が有効だ。また、準拠済みデバイスからのアクセスのみを許可するデバイスコンプライアンスポリシーも合わせて設定したい。

④ 経営幹部を対象としたセキュリティ意識トレーニング

VENOMはC-Suiteを意図的に狙っている。高度にパーソナライズされたメールを経営幹部が見分けるのは難しいが、「QRコードを使ったMicrosoft認証要求には特別な注意を払う」という啓発は最低限実施しておきたい。

筆者の見解

ゼロトラストの文脈で言えば、「認証済みだから信頼する」という発想がそもそも危うい。VENOMのようなAiTM攻撃は、認証プロセス自体を通過してしまうため、認証後のセッションをいかに継続監視するかが問われる。継続的なアクセス評価と最小権限の徹底、そしてJust-In-Time(JIT)アクセス制御こそが、この種の攻撃に対する根本的な答えだ。

Microsoftのアイデンティティ基盤は、条件付きアクセスの柔軟性やFIDO2サポートなど、対策を打てる素材は揃っている。組織側が「MFAを入れたから終わり」と思考停止するのではなく、その先の一手を打つかどうかが分かれ目になる。デバイスコードフローの無効化などは設定1つでできる話なので、後回しにする理由はない。

クローズドな基盤で活動するVENOMは今後も静かに範囲を広げる可能性がある。「今のところ被害報告がない」で安心している組織ほど、気づかないまま標的にされているリスクを再確認してほしい。

出典: この記事は New VENOM phishing attacks steal senior executives’ Microsoft logins の内容をもとに、筆者の見解を加えて独自に執筆したものです。