盗んだ認証情報を攻撃者から取り戻す「Phish-back」技術で、パリ発スタートアップが旋風

問題は、この「試行」の段階が完全な盲点になっていることだ。従来の監視ツールは、流出した認証情報がダークウェブ上に出回るか、実際に不正利用されて初めて異常を検知する。その時点では、既に防御の時間は残されていない。

MokNのテクノロジーは、攻撃者の「偵察と試行」という行動そのものを、最も強力な検知ポイントに変える。

「Baits」の仕組み——フィッシングする側をフィッシングする

MokNの最初の製品「Baits」は、実在する企業の認証ポータルと寸分違わぬ「おとり」をインターネット上に展開する。具体的には、SSL-VPN、Webメール、シングルサインオン（SSO）画面などを、正規のデジタル証明書を用いて完全に“本物そっくり”に複製するのだ。

攻撃者が標的のネットワーク境界を偵察する際、この精巧なおとりを有効な侵入口と誤認し、盗んだIDとパスワードを入力する。すると、おとりは「ログイン失敗」という画面を返すと同時に、入力された認証情報を瞬時に組織の正規ディレクトリと照合する。

照合の結果、もしそのアカウントが実在し、かつパスワードが一致すれば、それは「現在進行形で悪用されようとしている有効な認証情報」であることを意味する。システムは即座にクリティカルアラートを発報し、セキュリティチームは攻撃者が本物のシステムに到達する「数分前」にそのパスワードを強制リセットできる。

この仕組みは、単なるおとり（ハニーポット）とは一線を画す。大量のブルートフォース攻撃やノイズを高度にフィルタリングし、実在の従業員のアカウントに対する、実際の攻撃者の試行だけを抽出してエスカレーションする点にある。導入はSaaS型で提供され、証明書のアップロードとDNS設定だけで約5分と手軽だ。

「攻撃の経済学」を覆す、能動的なアイデンティティ回収

MokNはこの戦略を「Active Identity Recovery（能動的アイデンティティ回収）」、または業界で「フィッシュバック（やり返しフィッシング）」とも呼ばれる概念で説明している。

これは、侵害されたことを前提に動くプロアクティブ防御の極致といえる。攻撃者が時間とリソースをかけて認証情報を盗み出しても、それが実際に武器化されたり、ダークウェブで転売されたりする前に、音もなく無効化される。攻撃の経済的合理性を根底から覆す試みだ。

GVの出資と1500万ドルの軍資金を得たMokNは、「より高い壁を築くのではなく、泥棒を罠にかけて鍵を返させる」という新たな防御の形を、日米欧の市場に問いかけている。