Microsoft 365のビジネスアカウントを狙い、MFA(多要素認証)すら回避するフィッシングキットとして知られていた「W3LL」が、FBIとインドネシア当局の協調捜査によって壊滅させられた。開発者の逮捕と同時にインフラが押収されたこの事件は、単なる犯罪者一人の逮捕にとどまらない——フィッシング攻撃の「フルサービス化」という深刻なトレンドを改めて浮き彫りにしている。

W3LLとは何だったのか

W3LLは500ドルで購入できるフィッシングキットで、企業のログインポータルを精巧に模倣したサイトを誰でも作れるようにする仕組みだった。単にパスワードを盗むだけでなく、認証セッショントークンをリアルタイムで傍受できる点が特に危険視されていた。

仕組みはいわゆるAiTM(Adversary-in-the-Middle)攻撃だ。攻撃者のインフラが正規のMicrosoftログインページを中継する形でユーザーを誘導し、入力されたパスワード・ワンタイムMFAコード・セッションクッキーをすべて横取りする。ユーザーは正規サイトにログインしたつもりでいるが、その裏で攻撃者は盗んだセッションクッキーを使い、MFA認証を再度求められることなくアカウントに侵入できる。

一度アカウントを乗っ取ると、攻撃者はメールの監視・転送ルールの設定・なりすまし請求書の送付といったBEC(ビジネスメール詐欺)攻撃へと移行する。2019年から2023年にかけて2万5,000件超の侵害アカウントが売買され、被害額は2,000万ドル(約30億円)以上にのぼるとされている。

MFAを「有効にしているから安全」では終わらない時代

ここで立ち止まって考えたいのが、「MFAを設定しているから問題ない」という認識だ。W3LLはまさにその前提を崩すために設計されていた。

MFAはフィッシングに対して非常に有効な防御策であることは間違いない。しかし、AiTM型の攻撃はMFAの認証成功後に発行されるセッションクッキーを盗む。つまり、「認証の成功」自体を悪用するという発想だ。これに対抗するには、MFAを使いつつも、セッションの継続的な検証を組み合わせる必要がある。

具体的には、Microsoft Entra ID(旧Azure AD)の条件付きアクセスポリシーと継続的アクセス評価(CAE)の活用が有効だ。さらに、パスワードレス認証やフィッシング耐性のあるMFA——具体的にはFIDO2セキュリティキーやWindows Helloを使った認証——はAiTM攻撃に対しても根本的に強い。セッションクッキーを盗んでも、公開鍵ベースの認証は再現できないためだ。

実務での活用ポイント

1. フィッシング耐性MFAへの移行計画を立てる SMS・メール・TOTP(時間ベースのワンタイムパスワード)はAiTM攻撃に対して脆弱だ。まずは特権アカウントからFIDO2キーまたはMicrosoft Authenticatorの「番号照合+位置情報」機能を有効にすることを検討したい。

2. Microsoft Defender for Office 365 のSimulated Phishing攻撃シミュレーションを実施する ユーザーが実際にどのフィッシング手口に引っかかりやすいかを把握するには、攻撃シミュレーショントレーニングが効果的だ。W3LL型の中継フィッシングパターンもシミュレーション対象に含める。

3. 不審なメールルール・転送設定の自動検知を設定する BEC攻撃は侵入後に静かに行われる。Microsoft 365の監査ログや、Defender for Cloud Appsのアラートで「新しい転送ルールが作成された」通知を有効にしておくと、侵害後の横展開を早期検知できる。

4. NHI(Non-Human Identity)の認証フローも同様に見直す BECはアカウントを踏み台にするが、サービスプリンシパルやAPIキーが同様に盗まれていないかも確認が必要だ。特に長期間有効なシークレットが発行されたままになっている場合は整理の機会だ。

筆者の見解

W3LLの特筆すべき点は、フィッシングを「個人の手作業」から「フルサービスSaaS型の犯罪基盤」へと昇格させたことだ。W3LLは単なるツールではなく、マーケットプレイス・サポート・アップデート提供まで含むプラットフォームだった。犯罪のハードルを下げ、技術力のない攻撃者でもM365アカウントを狙えるようにした。

逆説的に聞こえるかもしれないが、こういうニュースが出るたびに思うのは、ゼロトラストの原則は正しかったということだ。「ネットワーク内にいるから信頼する」「MFAを通過したから信頼する」という静的な前提を壊し、継続的に検証し続ける仕組みこそが求められている。

アメリカとインドネシアの初の協調摘発という側面も見逃せない。サイバー犯罪は国境を越える一方で、これまで法執行機関の協力体制は遅れていた。今回の案件が新しい国際連携の先例になるとすれば、長期的な抑止力として意味がある。

一方で正直に言えば、W3LLを壊滅させても類似のサービスは他にいくつも存在する。Tycoon2FAやEvilTokensなど、同様の仕組みを提供するプラットフォームは今も動いている。根本的な対策は攻撃が成立しにくい認証基盤を作ることにあり、それには地道な設定変更と、ユーザーへの継続的な教育が不可欠だ。

「今の設定で問題が出ていないから大丈夫」は通用しない。W3LLの2万5,000件の被害者の多くも、被害に気づくまでは「問題ない」と思っていたはずだ。

出典: この記事は FBI takedown of W3LL phishing service leads to developer arrest の内容をもとに、筆者の見解を加えて独自に執筆したものです。