「MFA疲れでセキュリティ対策に疲弊している…」そんな悩みをお持ちではありませんか?
本記事では、MFA疲労攻撃の仕組みとその対策方法を解説します。
また、具体的なヒントとして、6つの防御方法を詳しく紹介します。
最新のセキュリティ技術であるリスクベース認証やFIDO2認証などを活用する方法、さらに、プッシュ通知による認証を無効にする方法や、セキュリティへの意識を高めるための実践的な対策もご紹介します。WinMagicの「MagicEndpoint」の活用についてもご紹介いたします。
この記事を読めば、MFA疲労攻撃からあなた自身と大切な情報を守る知識と具体的な方法が学べますので、最後までご覧ください。
MFA疲労攻撃とは?
多要素認証(MFA)疲労攻撃は、攻撃者が標的に繰り返し認証要求を送信することで、ユーザの注意を引きつけ、認証情報を入手しようとするソーシャルエンジニアリングの一種です。攻撃者は、メール、電話、SMS、またはその他の登録済みデバイスに偽の認証要求を送り、ユーザにその要求に応答するように仕向けます。ユーザが偽の認証要求に何度も応答すると、攻撃者は最終的に本物の認証要求に紛れ込み、認証情報を入手する可能性があります。
MFA疲労攻撃は、ユーザの注意を引きつけ、焦燥感を煽るように設計されています。急いで認証要求に応答するようにユーザを誘導するために、偽の緊急性を訴える場合があり注意が必要です。また、攻撃者はユーザの信頼性を損なうために、正当な組織やサービスになりすますこともあります。そのため、ユーザはMFA要求が正当なものか注意深く確認する必要があります。
MFA疲労攻撃から身を守るために、次の対策をとることが重要です。
・認証要求の送信元を確認する
・認証要求の文面を確認する
・複数のデバイスからの認証要求を注意深く観察する
・攻撃者に認証情報を渡さない
・セキュリティソフトを最新の状態に保つ
MFA疲労攻撃は、ユーザが注意を怠ると簡単に成功する可能性があります。そのため、ユーザはこれらの攻撃について十分に理解し、適切な対策を講じる必要があります。
MFA疲労攻撃の仕組みと対策
MFA疲労攻撃は被害者のログイン資格情報を取得して、多要素認証(MFA)を回避することを目的としています。攻撃者は、フィッシングメールや盗んだパスワードを次々試すパスワードリスト攻撃など、さまざまな手段を用いて、被害者のログイン資格情報を入手しようとします。
MFAが有効になっている場合、攻撃者は2要素認証コードの入力を求められます。MFAが設定されている場合、通常は追加の認証コードの入力が求められます。ここで攻撃者は、あなたのメールアドレスや電話番号を使って、MFAのプッシュ通知(スマホなどに送られる「認証してください」というメッセージ)を何度も送ってきます。
これにより、つい「許可」ボタンを押してしまうかもしれません。
攻撃者は、あたかもあなたのアカウントに問題が起きているかのように装ったり、「認証しないとアカウントがロックされる」などと脅したりして、プレッシャーをかけます。あなたがこのだましに乗ってしまい、MFAの要求をしっかり確認せずに承認してしまうと、攻撃者はあなたのアカウントやデバイスに侵入し、大切な情報を盗んだり、不正な取引をしたり、ウイルスを仕込んだりする可能性があります。
MFA疲労攻撃を防ぐための6つの方法
多要素認証(MFA)スパムは、ユーザが多数のMFA認証要求に悩まされ、最終的に認証を承認してしまう攻撃です。このような攻撃は、ユーザのMFAに対する疲労感を誘発し、セキュリティを低下させることから、MFA疲労攻撃とも呼ばれます。この攻撃を防ぐには、従業員が認証要求を認識し、誤って承認しないようにトレーニングすることが非常に重要です。
MFA疲労攻撃を効果的に阻止するために、以下の対策を検討しましょう。
1.リスクベース認証の導入
リスクベース認証とは、認証要求が本当に正しいものかどうかを判断するために、色々な情報を利用する方法です。
・現在地の活用
あなたの今の場所を確認することで、攻撃者が別の場所からMFA疲労攻撃を行うのを防ぎやすくなります。特に、スマホなどの場所がよく変わるデバイスに有効です。
・デバイスの個性を見抜く
あなたが使っているデバイスのブラウザの設定、画面の解像度、OSなどの特別な特徴から、そのデバイスを識別する技術です。これにより、攻撃者が色々なデバイスを使ってMFA疲労攻撃を仕掛けるのを阻止できます。
・あなたの行動パターンを分析
あなたが普段ログインする時間、使うデバイスの種類、ログインする場所などの行動パターンを分析することで、認証要求が正しいものかどうかを判断します。攻撃者は通常、あなたの普段の行動パターンから外れた動きをするのMFA疲労攻撃を見つけるのに特に役立ちます。
・これまでのログイン履歴を確認
あなたが過去にログインした記録や、使ったデバイスの記録を見ることで、不審な行動パターンを見つけ出し、MFA疲労攻撃を阻止できます。
2.FIDO認証の実装
FIDO2は、パスワードに頼らずに堅牢な認証を実現する、オープンな認証規格です。
FIDO2認証は、USBキーやNFCキーといったハードウェアセキュリティキーや、「MagicEndpoint」のようなソフトウェアを用いて実現できます。これらのキーはユーザの秘密鍵を保持し、公開鍵暗号方式を利用してユーザの身元を検証します。このプロセスでは、ユーザごとに公開鍵と秘密鍵が生成されます。
秘密鍵はユーザのデバイスまたはハードウェアセキュリティキーに保存され、公開鍵は認証サーバに保存されます。ユーザがログインしようとすると、サーバはチャレンジコードをユーザのデバイスに送信し、ユーザの認証気はその署名されたチャレンジコードを秘密鍵で署名しはサーバに返送します。、サーバは公開鍵を使って署名チャレンジコードを検証します。これによってその署名が正しいかを確認することができます。
3.プッシュ通知による認証の無効化
プッシュ通知は、ユーザの利便性を高めるために、ログイン試行の承認を「はい」または「許可」という簡単なクリックで済ませるように設計されています。しかし、この簡便さゆえに、攻撃者が不正なMFAリクエストを繰り返し送りつけ、ユーザを混乱させることが容易になっています。
MFA疲労攻撃から身を守るために、認証アプリにおけるプッシュ通知の検証機能を無効にすることを推奨します。代わりに、以下のような代替検証方法をご活用ください。
・番号照合
認証アプリから提供される一意のコードまたはPINと、ログイン画面に表示されるコードを照合する方式です。
・チャレンジと応答
アプリが、ユーザの身元確認のために、回答を求めるランダムなチャレンジまたは質問を提示する方式です。
・時間ベースのワンタイムパスワード
アプリが数秒ごとに変化する一意のコードを生成し、ユーザはそのコードを入力して身元を確認する方式です。
これらの代替検証方法は、ユーザが認証プロセスに積極的に参加する必要があるため、誤って承認されるリスクを軽減します。プッシュ通知を無効にして、これらの代替検証方法を利用することで、MFA疲労攻撃を防止し、MFAのセキュリティ全体を強化することができます。
4.MFAに関するセキュリティ意識向上
多要素認証(MFA)に関する教育とトレーニングを行なうことで、MFA疲労攻撃のリスクを認識させ、MFA 要求の信頼性を検証する方法を理解させることができます。フィッシングの模擬演習を含めることで、攻撃者が使用する手口を理解させ、ユーザがそれを見抜き回避する方法を教えるという側面もあります。
MFAのリスクと利点を、わかりやすく説明し、設定方法と使用方法について明確な手順を提示しましょう。専門用語や複雑な表現は、ユーザを混乱させ、セキュリティ意識向上プログラムの効果を低下させる可能性があるため、避けてください。
強力で一意のパスワードを使用し、複数のアカウントで同じパスワードを使用しないようにユーザに促すことが重要です。これは、攻撃者が盗んだパスワードを使ってMFA疲労攻撃を実行することを防ぐ効果的な対策となります。
また、ユーザアカウントを定期的に監視し、複数回のログイン失敗や、普段とは異なる場所からのログインなど、不審なアクティビティがないか確認する必要があります。これにより、MFA疲労攻撃やその他のサイバー攻撃を早期に発見し、重大な被害を回避できます。
登録されているデバイスや通知設定などのMFA設定を定期的に確認して更新することで、セキュリティと使いやすさの両方を最適化できます。これは、MFA疲労攻撃やその他のサイバー攻撃を防ぐ上で非常に有効な手段です。
5.高度なSIEMプラットフォームによる保護
MFA認証要求の不正利用を監視するために、セキュリティ情報イベント管理(SIEM)システムも有効です。MFAのログをSIEMシステムと連携させることで、短期間に大量のMFA認証要求が発生するなどの異常なパターンを検知できます。
これにより、MFA疲労攻撃の兆候をリアルタイムで特定し、すぐに対応できるようになります。
6.MagicEndpointを導入
MagicEndpointのコンセプトとして、ユーザがMFAを行うのはエンドポイントにログインする際のみです。ユーザはMFAを使用し、エンドポイントにログインしてしまえば、その後はエンドポイントデバイスにインストールされたMagicEndpointがユーザに代わりオンラインサービスへの認証を行います。MagicEndpointはFIDO2認証を使いIdPにログインし、IdPとオンラインサービス間はOpenID ConnectやSAMLといったフェデレーション認証の標準プロトコルを使用し認証します。
一般的なフェデレーション認証では、登録された各オンラインサービスを利用開始する度にユーザはMFAを行う必要がありますが、MagicEndpointではユーザの代わりにMagicEndpointが認証を行うためオンラインサービスを利用する度にMFAを行う必要がなくなります。
MagicEndpointの詳細はこちらからご確認ください。
MFA疲労攻撃まとめ
MFA疲労攻撃は、ユーザのセキュリティ意識をすり抜け、アカウント乗っ取りを狙う巧妙な攻撃手法です。本記事では、MFA疲労攻撃の仕組みや対策方法を解説しました。専門家からのヒントを参考に、リスクベース認証の導入、FIDO2認証の実装、セキュリティ意識向上など、多層的な対策を講じることで、MFA疲労攻撃によるアイデンティティ攻撃から身を守ることができます。適切な対策を実施し、アカウントの安全を確保しましょう。
パスワードレス認証・多要素認証ソフトの「MagicEndpoint」では、本記事でご紹介した技術的な対策を行なうことができるのでセキュリティの向上におすすめです。同時にユーザの認証に対する負荷も最大限に軽減します。
一般的にMFA疲労攻撃は何度も通知される認証要求に間違って承認させる攻撃手法です。「MagicEndpoint」ではデバイスと認証要求を結びつけることで、攻撃者はログインしようとしているデバイスを直接操作しなければならず、遠隔での攻撃も防ぐことができます。
「MagicEndpoint」はFIDO2とIdPの技術を応用し、パスワードレスを実現しています。これによりMFA疲労攻撃はもちろんですが、パスワードリスト攻撃やフィッシング攻撃によって認証情報が盗まれる心配もありません。そもそも簡単に盗まれる要素のIDとパスワードを一切使っていません。
