海外コメンタリー

多要素認証の回避を試みる攻撃者、警戒すべきポイントは?

Danny Palmer (ZDNET.com) 翻訳校正: 石橋啓一郎

2022-08-24 06:30

 多要素認証の導入は、アカウントやネットワークを攻撃から守るために最も効果的な対策だと言われることが多い。

自宅で仕事をする人
提供:Getty/MoMo Productions

 これは、サイバー犯罪者がネットワークに侵入するために最もよく使っている手段の1つが、フィッシング攻撃によってパスワードを盗んだり、弱いパスワードを推測するなどして、パスワードを入手することだからだ。いずれにせよ、パスワードさえ本物であれば、システムは相手にアクセスを許してしまう。

 多要素認証を導入すれば、攻撃者が超えなければならない壁をもう1枚増やすことになる。ユーザーが、パスワードを入力することに加えて、ログインしようとしているのが本人であることを証明しなければならないからだ。この確認には、SMSメッセージや、認証アプリや、物理的なセキュリティキーが使われる。仮に攻撃者がパスワードを知っていても、確認メッセージや物理的なデバイスにアクセスできなければ、システムは攻撃者を受け入れず、攻撃者がその先に進むことはできない。

 多要素認証を使えば、アカウントを乗っ取ろうとする試みの大部分に対抗できるが、最近は多要素認証を使用したセキュリティを迂回(うかい)しようとするサイバー攻撃が増えている。Microsoftによれば、2021年、この手法を使ったたった1つの攻撃キャンペーンで1万以上の組織が標的になったという

 多要素認証を迂回しようとするハッカーが採りうる選択肢の1つが、いわゆる「Adversary-in-the-Middle」(AiTM)と呼ばれる手口で、これはフィッシング攻撃と、被害者とログインしようとしているウェブサイトの間に設けたプロキシサーバーを組み合わせた攻撃手段だ。この手法を使えば、パスワードとセッションクッキーを盗むことができる。セッションクッキーはもう1つの認証手段なのだが、この攻撃キャンペーンでは、これを悪用して電子メールメッセージを盗もうとする。この攻撃を受けたユーザーは、普段通りに自分のアカウントにログインしたと思っている。

 Microsoftはこの攻撃について、「これは多要素認証の脆弱性ではない。AiTMフィッシングはセッションクッキーを盗むため、攻撃者はユーザーが使っているサインインの方法に関わらず、ユーザーになりすましてセッションの認証を得ることができる」と説明している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]