ここ10年で多要素認証(MFA)は、最新のサイバーセキュリティにおいてなくてはならない存在になりました。しかし、ユーザー認証方式が洗練されていく一方で、サイバー犯罪者の戦術も同じく進化しており、すでにMFAを回避する手法がいくつも編み出されているのをご存じでしょうか?
攻撃者がMFAを回避できてしまうにもかかわらず、MFAは完璧だという思い込みが残念ながら根強く残っているのが現状です。プルーフポイントによる最近の調査によると、攻撃者に乗っ取られたアカウントの約半数がMFAを設定していました。しかし、セキュリティ担当者の89%がMFAはアカウント乗っ取りを完全に防いでくれると考えています。ここに理想と現実の大きなギャップが存在しています。
攻撃が洗練化するにつれ、それに対抗するための堅牢かつ多層的な防御アプローチが、これまで以上に必要になっています。セキュリティが多層型であれば、MFA回避を抑制し、アカウント乗っ取りに起因する重大な侵害のリスクを低減することができます。このブログ記事では、MFAが十分ではない理由と組織をさらに保護するためのいくつかのヒントについて説明します。
MFA回避の手法
MFAは、ユーザーが複数の要素を使用して認証することで効果を発揮します。MFAでは、ユーザーが知っているもの(一般的にパスワード)とユーザーが使用しているもの(認証アプリまたはトークン)またはユーザーが本人であることを示すもの(フェイススキャンなど)を組み合わせて用います。これは非常にセキュアな方法に見えますが、残念ながら攻撃者は、MFAを回避する方法をいくつも生み出しています。それらの戦術の多くは非常に巧妙なものです。
- フィッシング攻撃:この攻撃では、サイバー犯罪者はユーザーをだまして、自身が管理するWebサイトにMFAコードまたはログイン認証情報を入力させようとします。
- MFA疲労攻撃:攻撃者がユーザーのパスワードを盗んだ後、大量のMFAプッシュ通知を実行します。これはユーザーの混乱を招き、ただ通知を止めようとアクセス要求を承認してしまうおそれがあります。
- セッション ハイジャック:この手法は、攻撃者が認証後にセッションのCookieを盗もうとするものです。これにより、該当するMFAベースの認証は無効になります。
- SIMスワップ:この手法は、攻撃者がターゲットの電話番号を手に入れることで、SMSベースのMFAを侵害するものです。電話番号を手に入れるために、攻撃者は携帯電話事業者にソーシャル エンジニアリング攻撃を仕掛けたり、組織の内部関係者にはたらきかけたりします。
- シンプルなソーシャル エンジニアリング:ほとんどの組織は、リモートワーカーが実際に赴く必要なくパスワードやMFA設定をリセットできる方法を用意しています。 しかし、適切なオンライン検証が導入されていなければ、ITヘルプデスクはソーシャル エンジニアリングの被害にあい、なりすましにあった従業員の認証情報を攻撃者にわたしてしまう可能性があります。
- 中間者攻撃: 特殊なフィッシングキットであるEvilginxのような攻撃ツールで、セッションのトークンを傍受します。続いてこうしたトークンは、正規のサービスに伝達され、攻撃者はアクセス権を手にすることができます。
Evilginxを用いた中間者攻撃のデモ をご覧ください。これを検知し、阻止できる Proofpoint Account Takeover Protection についても紹介しています。
MFAだけでは十分ではない理由
MFAは、ユーザー認証のセキュリティに重要なレイヤーを追加することは紛れもない事実です。またこれにより、攻撃者は簡単に侵入することはできません。しかし、前述のようにMFAを回避する手法も存在することから、1つのセキュリティ防御メカニズムに頼ることは非常にリスクがあることがうかがえます。MFAという広く普及したセキュリティ対策に対して、それを回避する攻撃が多発しています。
当たり前のように思えるかもしれませんが、それでもMFAは、大規模なセキュリティ プログラムの一部にすぎないことを忘れてはなりません。つまり、多層防御のひとつであり、絶対的な防御策ではないのです。多層的な防御の重要ポイントは、複数のセキュリティレイヤーを重ねることで、1つのレイヤーが侵害されても攻撃が成功する可能性を抑えられることです。
多層的防御の戦略を実装する
多層的な防御アプローチとは、複数のセキュリティ対策が重なり合ったものです。これにより冗長性が生まれ、攻撃者が脆弱性を悪用する可能性を減らすことができます。組織がどのようにMFA回避に対する防御を実装できるかについて説明します。
- エンドポイント保護の強化:エンドポイント検知&対応(EDR)ツールを導入し、許可されていないアクセスをホストレベルで特定し、リスクを低減します。
- 認証情報を窃取するフィッシングメールへの対策: ほとんどの攻撃者は、ユーザーの認証情報を盗むために、高度標的型のソーシャル エンジニアリングを用いたフィッシング攻撃を好みます。 こうした理由から、プルーフポイントでは、メールセキュリティ プラットフォームの継続的な進化と開発に大きく投資し続けています。
- フィッシングに強いMFAの導入:ハードウェア セキュリティ キー(FIDO2)または生体認証といった、よりセキュアなMFA方法に移行します。これらは、フィッシングやMFA回避攻撃に騙される確率が低いです。
- アカウント乗っ取りに特化したセキュリティシステムの実装: Proofpoint Account Takeover Protectionのようなツールを実装すれば、クラウドアカウント乗っ取りが発生した場合に自動的に検知、調査、対応を行うことができ、重大な損害を与える前に阻止することができます。
- ユーザーの教育: フィッシング試行や、その他のMFA認証情報を狙うソーシャル エンジニアリング戦術を認識できるようユーザーにトレーニングを提供します。 ここでは、Proofpoint ZenGuide (旧:PSAT)が役立ちます。
- インシデント レスポンスとリカバリの計画: 最悪の事態に備えます。迅速にアクセストークンを無効にし、不審なログインを調査するための方法を含む、十分に確立されたインシデント レスポンス計画を作成します。Proofpoint Account Takeover Protectionも役立ちます。
サイバーセキュリティの過去、現在、そして未来:プロアクティブな多層型防御
MFA回避戦術に対する戦いは、今日のサイバー脅威のダイナミックな状況をよく表しています。多層型防御の戦略を導入すれば、1つのセキュリティ レイヤーが侵害されても、他のレイヤーがその影響を吸収してくれます。
包括的かつプロアクティブなセキュリティ対策に投資することで、攻撃者の一歩先を行き、最も重要な資産を保護することができます。サイバーセキュリティとは、壊れることのない1つの壁を築くことではなく、さまざまな段階で攻撃者を食い止めることです。
詳しくは、プルーフポイントのAccount Takeover Protectionデータシートをダウンロードしてご確認ください。または、中間者攻撃に関するデモをご覧ください。
