MFA フィッシング:大企業のネットワークを危険にさらすサイバー攻撃
2023 年 5 月 11 日 Sam Manjarres 著
サイバー犯罪者は、フィッシングと呼ばれる手法を使用して、ユーザをだますことで機密情報を漏らし、アカウントへの不正アクセスや企業ネットワークの侵害を企てます。最近、MFA フィッシングという新しいタイプのフィッシング攻撃が現れ、企業ネットワークが採用している主要な保護手段を回避することに成功しました。
あるという単純な事実を裏付けるものです。特に、企業ネットワークへのアクセスに関連する脅威に対しては、人的リスク管理が今後のサイバーセキュリティの基本となると指摘されています。この増加傾向は、フィッシングに対抗できる、強力な MFA(多要素認証)ソリューションの導入の重要性も示しています。
昨年9月 Uber 社において、悪意のある者が同社の契約者のアカウントに侵入し、システムにサイバー攻撃を仕掛けた事件がありました。調査の結果、同社は被害者の個人所有のデバイスがマルウェアに感染し、認証情報が流出した後に、サイバー犯罪者がダークウェブで対象者の企業パスワードを購入した可能性があると結論づけました。最初の原因は、ユーザが多量の MFA 認証要求を受けて、偽のリクエストの 1 つを受け入れることで MFA フィッシングが発生(MFA 疲労攻撃)し、ログインの成功に結びついたことです。
この事例は、「ユーザ」がサイバーセキュリティ上の最大の脆弱性であることを示しています。セキュリティソリューションはしばしばユーザとの関わりを必要とし、ソーシャルエンジニアリングやフィッシングなどの詐欺行為に巻き込まれる可能性は避けられません。
MFAフィッシングの仕組み
MFA フィッシング攻撃では、サイバー犯罪者はユーザをだまして、認証に使う機密情報を明らかにさせたり、攻撃者が 生成する MFA ソリューションの不正なログイン要求に応えさせようとします。MFA フィッシング攻撃が成功した場合、最初のステップとしてターゲットの認証情報を入手します。認証情報の盗難は、フィッシング攻撃、自動化された攻撃、ブルートフォース攻撃、ソーシャルエンジニアリングなどの手法によって行われる可能性があります。
- フィッシング攻撃:
サイバー犯罪者は、多くの場合、偽の(一見本物のように見える)電子メールや Web サイトを使用して、無防備な ユーザから機密情報を取得します。 - 自動化された攻撃:
悪意のあるソフトウェアを使用し、ユーザの知らないうちに認証情報にアクセスします。ダークウェブにおける情報収集者の需要の高まりに影響を与え、成功を収めているこの新しい 2 本立ての戦術は、マルウェアを導入してユーザの認証情報を取得したのち、MFA 疲労攻撃を行って企業ネットワークにアクセスするものです。 - ブルートフォース攻撃:
ブルートフォース攻撃では、サイバー犯罪者は、パスワード、ユーザ名、その他の異なるアカウントへのアクセスを提供する認証情報を体系的に推測できる自動プログラムを使用します。クレデンシャルスタッフィング攻撃と呼ばれる手法もブルートフォース攻撃の一つで、他のサイトのデータ侵害から入手したユーザ名とパスワードのペアを総当たりでテストするものです。 - ソーシャルエンジニアリング:
ソーシャルエンジニアリングによってユーザの信頼を獲得し、ユーザを操作して認証情報を取得しようとする攻撃者もいます。
攻撃者は、上記のような手口でターゲットの認証情報を入手すると、同様の手法で MFA フィッシングを実行することができます。SMS や電子メールのフィッシングは、ターゲットを騙して、これらのチャネルを介して送信された MFA 認証コードを明らかにするために使用されます。同様に、悪意のある行為者は、企業の正規従業員など信頼できる人物を装い、ユーザにログイン情報と MFA コードの提示を求めるスプーフィング攻撃を行うこともあります。
この種の攻撃は、ワンタイムコードを使用する MFA ソリューションに最も効果的な傾向があります。モバイルデバイスのアプリからの要求をユーザに承認させることは、さらに困難です。このため、Uber や Cisco といった企業の大規模な企業ネットワークを狙った攻撃のように、MFA 疲労攻撃が流行するようになっています。
この手口を使えば、サイバー犯罪者はターゲットのモバイルデバイスに複数のプッシュ(ポップアップ)通知を送ることができます。MFA 認証要求の数に圧倒されたユーザは、その要求を無視し始め、このセキュリティソリューションを無効にしたり、あるいは不注意でアクセスを許可したりして、MFA フィッシング攻撃の犠牲となる可能性があります。
企業にはフィッシングに強いMFAソリューションが必要
この新しいタイプの攻撃がエスカレートしている現在、企業は MFA 疲労攻撃から保護するソリューションを必要としています。予期せぬプッシュ通知を受け取った場合にユーザがなんらかの行動を起こすためのツールを導入することで、不正な要求を誤って承認する可能性を減らすことができます。
顧客保護を目的とする MSP にとって、フィッシングに強い MFA ソリューションをポートフォリオに加えることは、他のビジネスに対する競争優位性をもたらします。
しかし、既存のソリューションにこの機能を追加する場合は、エンドユーザに対する負荷を考慮する必要があります。この負荷が大きいと、エンドユーザはセキュリティを避けたり無視したりするようになり、企業ネットワークが悪意ある行為者にさらされる可能性があります。ウォッチガードの AuthPoint は、新しい高度な脅威に対応するために進化し、現在ではプッシュ通知を無効にすることができるため、MFA 疲労を軽減することができます。そのため、追加の検証要素を組み込むことなく、ユーザが最初の認証要求を拒否した場合に、新機能は、要求機能を完全に無効にする選択肢を与え、ユーザが誤って企業ネットワークへのアクセスを許可することを防止します。この機能とポリシー制限などの他の機能を組み合わせることで、不正なアクセスを防ぐセキュリティが強化されます。
MFA フィッシングは、サイバー犯罪者がターゲットに到達するための新しい方法を日々開発している事実を示す一例です。今日、技術的な観点からこれらの攻撃を防ぐ唯一の方法は、ヒューマンエラーの可能性を減らし、サイバー犯罪者が企業ネットワークにアクセスするのを防ぐ、フィッシングに強い MFA ソリューションを導入することです。
MFA について、またこのテクノロジが企業ネットワークの安全確保にどのように役立つかの詳細は、以下の記事をご覧ください: