MFA Fatigue(多要素認証疲労攻撃):高まるセキュリティ上の懸念

インターネットは、企業やそのユーザーに危害を加えようとする攻撃者から、これほどまでに存亡の危機に直面したことはありません。多くの企業がアイデンティティとセキュリティの間に関連性があることを理解はしていますが、最新のセキュリティ戦略にとってアイデンティティがいかに重要であるかを十分に理解している企業はほとんどないかもしれません。IDのセキュリティ対策にギャップがある企業は、漏洩や侵害に直面するリスクが著しく高くなっています。

攻撃者が正当なIDをコントロールできてしまえば、ネットワークに侵入し、内部でラテラルムーブメント、不正行為を促進し、機密データを引き出すことができてしまいます。もちろん、一夜にしてブランドの評判や顧客ロイヤリティを損なうこともあります。

従来の境界線がなくなり、”人”を狙うことが機密データやリソースへの最短アクセスとなっています。アイデンティティを管理するとは、我々ができる最もスケーラブルな防衛手段(最大の弱点ではない)として”人”を守るということです。

IDへの攻撃は、ますます巧妙になり、既に確立されたセキュリティ対策を回避するように意図的に設計されたものが急増しています。

多要素認証疲労攻撃とは何か、攻撃者はどのように攻撃するのか?

多要素認証疲労攻撃(別名:MFAプロンプトスパム/MFA爆弾)とは、攻撃者がユーザーの認証アプリにプッシュ通知を流し、ユーザーがそれを受け入れてしまうことを期待して、攻撃者がアカウントやデバイスへの侵入を可能にするために使用する攻撃手法です。

これは、既知の非常に現実的な攻撃ベクトルとなっています。Mandiantは、MFAプロンプト スパムを使用するロシアのAPTについて、レポートを作成しています。

この攻撃の肝は、

  • 攻撃者は、他の手段(最も一般的なのはフィッシング)で既に主要なユーザーID/パスワードの認証情報を盗んでいます
  • プッシュMFAで保護されたアカウントにサインインしようと、攻撃者が盗んだ認証情報を入力し、これを連続して複数回行います
  • ターゲットは有効なプッシュ通知(通常は何らかのモバイルアプリへの通知)を何度も受ける
  • また、攻撃者がヘルプデスクやIT部門を装ったメッセージや電子メールを受信し、アクセス試行を受け入れるように促すこともあります
  • やがて、ターゲットはこのMFA通知の洪水に疲れ、"No, it's not me(私には心あたりがありません) "ではなく、"Yes, it's me(はい、私で間違いありません) "をタップしてしまいます。

このような一連の流れから、ユーザーがこのような状況でプッシュを受け入れることを選択することは理解できます。MFAプッシュ通知が延々と続くようなら、MFAリクエストを承認せず、自社を名乗る不明な人物と話をしないように、というガイダンスをユーザーに提供することができます。しかし、これだけでは不十分です。業務をこなしているユーザーに、別の重い負担を強いることには変わりはないのです。

この問題は、ユーザーの行動の問題やセキュリティ強度の弱いMFAではなく、この種の攻撃が流行する前に、阻止するように設計されていないシステムにあります。

MFAとは?

企業はどのようにしてMFAのベストプラクティスに移行することができるのか?

数え切れないほどのエンジニアリングチームや製品チームとの共同作業に基づき、使用するMFAのセキュリティ強度を高め、多要素認証疲労攻撃の影響を受けにくくするためのヒントを以下に紹介します:

  1. フィッシングに強い認証機能への登録を義務付け、それを必要とするアクセスポリシーを設定する
    最近の攻撃や情報漏えいは、フィッシングやソーシャル・エンジニアリングによる攻撃がますます巧妙になっていることを示しています。これは、米国政府のOMB M-22-09 (米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書)が、WebAuthnのようなより強力な認証方法の使用を特に呼びかけているほど、高い普及率を示しています。
    SMS、メール、音声によるワンタイムパスワード、秘密の質問、プッシュ通知などは、フィッシングに対する耐性が低く、中程度の安全性を持つ認証機能です。FIDO(Fast Identity Online)プロトコルを使用したフィッシングに強い認証機能を採用することで、リスクの高いデータを保護します。このプロトコルは公開鍵暗号を活用し、共有されたコードや秘密の使用を排除しています。これにより、攻撃者がアクセスコードを傍受し、それを再生する能力を低減することができます。また、フィッシング耐性の高い認証システムは、送信元と送信先の両方の正当性を検証するため、意図したサイトとユーザーのデバイスの間でしか起こらない限定的な認証アクションを実現します。
  2. パスワードレスにする:パスワードに依存した認証手段をなくす
    パスワードは基本的に共有された秘密であり、保証の低い要素です。Okta FastPassのようなソリューションでパスワードレスを実現すれば、フィッシングやクレデンシャル・スタッフィングなど、パスワードベースの攻撃の大部分を軽減、あるいは排除することができ、さらに認証時間を短縮してシームレスな体験を提供することができます。

Okta社では、100%パスワードレスの方針を出しています。その背景や過程でのベストプラクティスなどはこちらを参照ください。

  1. リスクベース認証とオーセンティケーター(認証器)を組み合わせる
    すべてのログインでMFAを実施することに加え、場合によっては、特に機密性の高いアプリケーションへのログインに強力なオーセンティケーター(認証器)を要求するリスクベース認証ルールの追加を検討することも考えられます。また、これらの強い認証要素は、最終的にパスワードレスにするための大きな足がかりにつながります。

IDベースの攻撃を阻止する方法について、また、Oktaがこの種の攻撃を検出するのに役立つ方法についても詳細情報をご覧ください。

このブログはこちらの英語ブログの翻訳です。