セキュリティジャーナリスト Brian Krebs が報じた新たなフィッシング・アズ・ア・サービス(PhaaS)「Starkiller」は、従来のフィッシングサイトとは一線を画す手法で認証情報と多要素認証(MFA)を同時に窃取する。本物のログインページをそのまま中継するため、見た目での判別がほぼ不可能であり、セキュリティ業界に大きな警鐘を鳴らしている。
この記事のポイント
- Starkillerは本物のログインページをプロキシ中継し、偽サイトを一切ホストしない新手法のフィッシングサービス
- MFA(多要素認証)をリアルタイムで中継突破し、セッショントークンごと奪取する
- URLの「@」記号トリックで正規ドメインに見せかけたリンクを生成し、検知を回避する
Starkillerの技術的仕組み
Starkillerは、Dockerコンテナ上でヘッドレスChromeブラウザを稼働させ、攻撃者のインフラを経由して正規のログインページをそのまま読み込む「中間者プロキシ(Man-in-the-Middle)」型のフィッシング基盤である。Abnormal AI社のセキュリティ研究者 Callie Baron氏とPiotr Wojtyla氏の調査により、その詳細な仕組みが明らかになった。
従来のフィッシングサイトは、標的サービスのログインページを静的にコピーしたものが大半であり、セキュリティ企業や不正利用対策チームによって比較的短時間でテイクダウン(削除)されてきた。しかしStarkillerは本物のサイトをリアルタイムで中継するため、偽ページそのものが存在しない。被害者がユーザー名、パスワード、MFAコードを入力すると、その情報はStarkillerのサーバーを経由して正規サイトに転送され、正規サイトからの応答もそのまま被害者に返される。つまり、被害者から見れば完全に正規の認証フローを体験しているように見えるのだ。
巧妙なURL偽装テクニック
Starkillerが使用するURL偽装の核心は、URLにおける「@」記号の仕様を悪用する手法にある。例えばMicrosoftを標的とする場合、「login.microsoft.com@[悪意あるURL]」のようなリンクを生成する。ブラウザのURL解釈仕様では、「@」より前の部分はユーザー名情報として扱われ、実際の接続先は「@」以降のドメインとなる。これにより、一見すると正規のMicrosoftログインページへのリンクに見えるが、実際には攻撃者が管理するサーバーに接続される。さらにURL短縮サービスを組み合わせることで、この偽装をより巧妙に隠蔽することも可能だ。
この手法は新しいものではないが、Starkillerのようにプロキシ型フィッシングと組み合わせることで、従来のURLフィルタリングやフィッシング検知をすり抜ける強力な攻撃手段となっている。
充実した攻撃者向け機能群
Starkillerは単なるフィッシングキットではなく、攻撃キャンペーン全体を管理できる総合プラットフォームとして提供されている。研究者らの調査によると、以下のような機能が実装されている。
- リアルタイムセッション監視・画面ストリーミング: 被害者のブラウザ操作をリアルタイムで監視できる
- キーロガー機能: すべてのキーストロークを記録し、入力された情報を漏れなく取得する
- Cookie・セッショントークンの窃取: 認証済みセッションをそのまま奪取し、直接アカウントを乗っ取ることが可能
- 位置情報追跡: 標的のIPアドレスから地理的位置を特定する
- Telegram自動通知: 認証情報が取得された瞬間に攻撃者のTelegramに自動通知が送られる
- キャンペーン分析ダッシュボード: 訪問数やコンバージョン率(認証情報取得成功率)を可視化する
- メールアドレス収集: 追加のフィッシングキャンペーン用にメールアドレスをハーベストする機能
MFA(多要素認証)突破の仕組み
Starkillerがセキュリティ業界で特に警戒されている理由は、MFAを実質的に無力化する点にある。被害者がプロキシを経由して正規サイトにアクセスし、SMSコードや認証アプリのワンタイムパスワードを入力すると、そのコードはリアルタイムで正規サイトに転送される。正規サイト側から見れば正当な認証リクエストであり、認証は成功する。攻撃者はこの過程で生成されたセッショントークンやCookieを取得し、被害者のアカウントに直接アクセスできるようになる。
従来のフィッシング対策として推奨されてきたSMSベースやTOTP(時間ベースのワンタイムパスワード)によるMFAは、このようなリアルタイム中継型攻撃に対しては防御効果が限定的である。FIDO2/WebAuthnベースのハードウェアセキュリティキー(YubiKeyなど)は、認証時にドメインの正当性を暗号的に検証するため、このタイプの攻撃に対して有効な防御手段となる。
脅威グループ「Jinkusu」の存在
Starkillerを運営しているのは「Jinkusu」と呼ばれる脅威グループであり、専用のフォーラムを運営している。このフォーラムでは顧客同士がフィッシングの手法について議論し、新機能のリクエストを行い、デプロイ時のトラブルシューティングを行っている。このようなサポート体制は、技術的な知識が乏しい攻撃者でも容易にフィッシングキャンペーンを展開できることを意味しており、サイバー犯罪の民主化がさらに進んでいることを示している。
知っておくと便利なTips
- FIDO2/WebAuthn対応のハードウェアセキュリティキーを使うことで、プロキシ型フィッシングによるMFA突破を防げる
- URLの「@」記号に注意し、リンクをクリックする前にブラウザのアドレスバーで実際の接続先ドメインを確認する習慣をつける
- パスワードマネージャーはドメインを厳密にチェックするため、プロキシ経由の偽サイトでは自動入力が作動しない可能性がある(防御の一助になる)
- 不審なログイン通知やセッション履歴を定期的に確認し、身に覚えのないアクセスがないか監視する
まとめ
Starkillerは、フィッシング攻撃のインフラにおける「重大なエスカレーション」と研究者らは結論づけている。本物のログインページをそのまま中継し、MFAまで突破するこの手法は、従来のフィッシング対策の多くを無効化する可能性がある。特にSMSやTOTPベースのMFAに頼っている場合、このタイプの攻撃に対して脆弱であることを認識する必要がある。防御策としてはFIDO2セキュリティキーの導入が最も効果的であり、加えてパスワードマネージャーの活用やURLの慎重な確認も重要だ。フィッシング・アズ・ア・サービスの高度化により、攻撃者の技術的ハードルは下がる一方であり、個人・組織ともに認証セキュリティの見直しが急務といえる。
📎 元記事: https://krebsonsecurity.com/2026/02/starkiller-phishing-service-proxies-real-login-pages-mfa/
コメント