編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

FBIが多要素認証を迂回する攻撃について注意喚起

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2019-10-08 13:33

 米連邦捜査局(FBI)は9月に、民間企業パートナーに対して、企業やその従業員を対象とした多要素認証(MFA)ソリューションを迂回する攻撃が見受けられることを通知する、セキュリティアドバイザリーを送付した。

FBI

 FBIは、米国時間9月17日に送付した「Private Industry Notification」で、「FBIは、一般的なソーシャルエンジニアリングと技術的な攻撃を通じて、サイバー攻撃者が多要素認証を迂回している状況を確認した」と述べている。

 現在ではMFAによる保護を迂回する手法が複数見つかっているが、今回のFBIの通知では、特にSIMスワップ、多要素認証を処理するページの脆弱性を突く手法、「Muraen」と「NecroBrowser」のような透過的なプロキシーを利用する手法について警告している。

 FBIは通知の中で、どんなことが問題になっているかを伝えるために、攻撃者が最近のインシデントで企業や一般ユーザーから金銭を盗むために使用した、多要素認証を迂回するテクニックの具体例を挙げている。

MFAは現在も有効

 FBIは、今回の警告は注意喚起として捉えるべきもので、MFAの効果を疑問視するものではないことを明確にしており、依然として企業にMFAの利用を推奨している。

 MFAを迂回するインシデントや攻撃用ツールの数は増えているものの、こうした攻撃は現在も極めてまれで、大規模に自動化された形で実施されたことはない。Microsoftは10月3日、MFAを迂回したインシデントはあまりにもまれであるため、この種の事例に関する統計さえ持っていないと述べている

 同社によれば、MFAを有効にした場合、アカウントをハッキングする試みの99.9%はブロックされているという。

 またGoogleも、5月に同様のことを述べており、アカウントに復旧用の電話番号を設定して、間接的にSMSを利用したMFAを有効にしているユーザーは、アカウントのセキュリティが向上したとしている。

 全体として見れば、MFAは今も大規模な自動化された攻撃を防ぐには非常に効果的だ。ただしユーザーは、SMSを利用した認証をはじめとして、一部のMFAを迂回する手段が存在することを知っておくべきだろう。

 その上で、SIMスワップのようなソーシャルエンジニアリングや、MFAトークンを奪うことができる透過的なプロキシーが通用しない、より強力なMFAソリューションを選択することが望ましい。

 Microsoftのページには、さまざまなMFAソリューションが、MFA迂回攻撃にどの程度強いかをMicrosoftのセキュリティエンジニアが分析した結果が掲載されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]