MFAバイパス攻撃に対する懸念が高まっています

Concerns about MFA bypass attacks are increasing.

マルチファクタ認証（MFA）は、パスワード、指紋、スマートフォンなどの認証要素を使用してシステムとデータを保護するものです。セキュリティの専門家は、複数の認証要素を盗む必要があるため、マルチファクタ認証を採用するよう消費者や組織に促しています。

サイバーセキュリティとインフラセキュリティ庁（CISA）や国立標準技術研究所（NIST）などのセキュリティと規格の組織の専門家は、できるだけMFAを使用するよう人々と組織に求めています。

しかし、サイバー犯罪者は特別に作成された攻撃を使用して、MFAを回避することがますます増えています。

2月に、ソーシャルメディアのニュースや共有フォーラムであるRedditは、攻撃者が従業員に対してメールでフィッシング攻撃を行いました。この攻撃では、ユーザーをだましてMFAの資格情報をサイバー犯罪者に提供させました。

• 「クリエイティブな人々がAIに対して訴訟で反撃しています」
• 「なりすまし検出機能は、ソーシャルメディア上の偽アカウントからブランドやパーソナリティを保護する」
• 「ハッキングされたミツバチがAIを巣に近づける方法」

「攻撃者はRedditの社内ネットワークゲートウェイを模倣したウェブサイトに従業員を誘導する説得力のあるプロンプトを使用しました」と、身元管理とアクセス管理（IAM）会社であるSimeioのソリューションとアドバイザリのディレクターであるJames Quick氏は述べています。

Quick氏によれば、従業員が資格情報と第2の要素トークンを入力すると、犯罪者はそれをキャプチャして組織にアクセスするために使用しました。

MFAバイパス攻撃は増加しています。25年の歴史を持つイギリスのマネージドサービスセキュリティプロバイダ（MSSP）であるSapphire Cybersecurityのデータによると、2022年8月には40,942件のMFA疲労攻撃が発生しました。

犯罪者は、中間者攻撃（MitM）攻撃、MFAバイパスのフィッシングキット、盗まれたブラウザセッションクッキー、MFA疲労、および悪意のあるOAuthアプリケーションなど、多くのMFAバイパス技術を持っています。

ただし、これらの攻撃を軽減する方法もあります。

サイバー犯罪者は、Wi-Fiホットスポットで中間者攻撃を使用してMFAを回避することができます。犯罪者は、偽のワイヤレスアクセスポイントを使用してユーザーをだますことで、ユーザーとインターネット間のトラフィックにアクセスし、トークンを盗むことができます。

Xact IT Solutions, Inc.の最高経営責任者であるBrian Hornung氏によれば、出張中の従業員がホテルのWi-Fiに接続し、Microsoftアカウントに接続すると、サイトを信頼するかデバイスに保存するかを尋ねるメッセージが表示されることがあります。Hornung氏は、「ほとんどの訓練されていないユーザーは、このネットワークから接続するたびに手動のログインプロセスを経ることを望まないため、’はい’をクリックするでしょう」と説明しています。「しかし、攻撃者がMicrosoftからユーザーに渡されたトークンを嗅ぎ取り、それを盗んでアクセスすることができます」と彼は述べています。

MFAバイパスのフィッシングキットは、サイバー犯罪者にとって人気のある選択肢です。彼らはこれらのキットとフィッシングウェブサイトを使用して、ユーザーのアカウントのユーザー名、パスワード、およびMFAトークンをキャプチャします。

Hornung氏によれば、従業員が偽のウェブサイトにユーザー名とパスワードを入力すると、サイバー犯罪者はそれらを収集し、迅速に正規のサイトに入力します。サイトがMFAトークンをユーザーに返すと、ユーザーがそれを入力し、犯罪者がそれを実際のサイトに迅速に入力します。

ブラウザセッションクッキーの盗難は、MFAバイパスの別の手段です。組織はブラウザセッションクッキーを使用して、ユーザーがウェブサイト上でのアクティビティをキャプチャします。ユーザーがブラウザを閉じると、そのユーザーのセッションは終了し、クッキーはクリアされるはずです。

残念ながら、HelpNetSecurityによれば、犯罪者はユーザーのブラウザからブラウザセッションクッキーを盗んで組織のサイトや機密データに不正アクセスすることができます。

また、MFA疲労と呼ばれる別の攻撃方法が多くのニュースで取り上げられています。BleepingComputerによれば、MFA疲労またはMFAボミング攻撃は、スクリプトを使用して繰り返しログイン試行を自動化します。システムはユーザーに2要素認証（2FA）の確認リクエストを送信し、ユーザーが疲れるまで続け、ログインしたことを確認するまで繰り返しますが、アクセスを得るのはハッカーです。

犯罪者はまた、オンラインの認証と同意の事実上の標準であるOpen Authorization（OAuth 2.0）を悪用することで、MFAを回避することができます。HelpNetSecurityによれば、昨年末に現れた悪意のあるOAuth攻撃では、マイクロソフトが「パブリッシャーの身元が確認されました」というバッジを無意識に犯罪者に与えました。サイバー犯罪者は、これらのブルーバッジをソーシャルエンジニアリング攻撃でのシングルサインオン（SSO）と会議アプリに使用しました。ユーザーが「承認」をクリックすると、犯罪者は不正アクセス権を取得します。

攻撃が激化している中、希望があります。Quickによれば、組織はGoogle AuthenticatorやMicrosoft Authenticatorなどの時間ベースのMFAを使用することで、MFA爆撃/疲労攻撃から従業員とデータを保護することができます。これらの時間ベースのワンタイムパスコード（TOTP）は30秒後に期限切れになります。「これにより、攻撃者が迅速に多くのMFAリクエストを送信することが困難になります」とQuickは説明しています。

Quickは「チャレンジ・レスポンス型MFAも別のオプションです。これには、ユーザーがセキュリティの質問に回答するか、パスワードとMFAコードに加えて生体認証の識別子を提供する必要があります」と述べています。攻撃者は回答を知っているか、生体認証の識別子にアクセスできる必要があります。

「所有するもの」という認証要素には、物理的な認証キーなどのバリエーションがあります。

会計事務所EisnerAmperのアウトソーシングITサービスチームのマネージングディレクターであるRahul Mahnaは「YubiKeysなどのハードウェアMFAが人気を集めている」と述べています。これらのキーは電子ではなく物理的なMFAを可能にします。

YubiKeysやGoogle Titanなどの類似製品は、犯罪者が物理的なキーを持っていないため、中間者攻撃やフィッシング攻撃を軽減します。

意識はセキュリティチームにとって重要なツールです。Quickによれば、組織はMFAに関する最新のフィッシング攻撃やソーシャルエンジニアリング攻撃について知るべきです。「攻撃者は常にユーザーをMFAリクエストの承認に騙す新しい方法を開発しています」と彼は言います。新しいMFAバイパス攻撃の仕組みを知ることで、セキュリティチームはどのイベントアラートを設定し、どのイベントログをレビューしてこれらの攻撃を特定するかを学ぶことができます。

組織は確立されたセキュリティ組織にガイダンスを求めることができます。CISAは、MFAによるフィッシング攻撃に対する抵抗力のある実装に関する2022年10月の事実シートを提供しており、MFAバイパスの脅威、サイバーセキュリティの実装、およびリソースについて詳細に説明しています。

MFAバイパスは人間の脆弱性を狙っています。セキュリティチームはユーザーとユーザーアクセスの監視と保護に重点を置くべきです。

マネージングディレクターのMahnaは「ITセキュリティチームの目標は、特にCレベルのスイートに所属し、ハッカーにとって大金の標的となる金融システムへのアクセス権を持つ個人を保護することに変わりました」と結論付けています。

David Geerは、サイバーセキュリティに関連する問題に焦点を当てたジャーナリストです。彼はアメリカ、オハイオ州クリーブランドから執筆しています。

We will continue to update VoAGI; if you have any questions or suggestions, please contact us!