米連邦捜査局(FBI)は9月に、民間企業パートナーに対して、企業やその従業員を対象とした多要素認証(MFA)ソリューションを迂回する攻撃が見受けられることを通知する、セキュリティアドバイザリーを送付した。
FBIは、米国時間9月17日に送付した「Private Industry Notification」で、「FBIは、一般的なソーシャルエンジニアリングと技術的な攻撃を通じて、サイバー攻撃者が多要素認証を迂回している状況を確認した」と述べている。
現在ではMFAによる保護を迂回する手法が複数見つかっているが、今回のFBIの通知では、特にSIMスワップ、多要素認証を処理するページの脆弱性を突く手法、「Muraen」と「NecroBrowser」のような透過的なプロキシーを利用する手法について警告している。
FBIは通知の中で、どんなことが問題になっているかを伝えるために、攻撃者が最近のインシデントで企業や一般ユーザーから金銭を盗むために使用した、多要素認証を迂回するテクニックの具体例を挙げている。
MFAは現在も有効
FBIは、今回の警告は注意喚起として捉えるべきもので、MFAの効果を疑問視するものではないことを明確にしており、依然として企業にMFAの利用を推奨している。
MFAを迂回するインシデントや攻撃用ツールの数は増えているものの、こうした攻撃は現在も極めてまれで、大規模に自動化された形で実施されたことはない。Microsoftは10月3日、MFAを迂回したインシデントはあまりにもまれであるため、この種の事例に関する統計さえ持っていないと述べている。
同社によれば、MFAを有効にした場合、アカウントをハッキングする試みの99.9%はブロックされているという。
またGoogleも、5月に同様のことを述べており、アカウントに復旧用の電話番号を設定して、間接的にSMSを利用したMFAを有効にしているユーザーは、アカウントのセキュリティが向上したとしている。
全体として見れば、MFAは今も大規模な自動化された攻撃を防ぐには非常に効果的だ。ただしユーザーは、SMSを利用した認証をはじめとして、一部のMFAを迂回する手段が存在することを知っておくべきだろう。
その上で、SIMスワップのようなソーシャルエンジニアリングや、MFAトークンを奪うことができる透過的なプロキシーが通用しない、より強力なMFAソリューションを選択することが望ましい。
Microsoftのページには、さまざまなMFAソリューションが、MFA迂回攻撃にどの程度強いかをMicrosoftのセキュリティエンジニアが分析した結果が掲載されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
