編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内

FBIが多要素認証を迂回する攻撃について注意喚起

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2019-10-08 13:33

 米連邦捜査局(FBI)は9月に、民間企業パートナーに対して、企業やその従業員を対象とした多要素認証(MFA)ソリューションを迂回する攻撃が見受けられることを通知する、セキュリティアドバイザリーを送付した。

FBI

 FBIは、米国時間9月17日に送付した「Private Industry Notification」で、「FBIは、一般的なソーシャルエンジニアリングと技術的な攻撃を通じて、サイバー攻撃者が多要素認証を迂回している状況を確認した」と述べている。

 現在ではMFAによる保護を迂回する手法が複数見つかっているが、今回のFBIの通知では、特にSIMスワップ、多要素認証を処理するページの脆弱性を突く手法、「Muraen」と「NecroBrowser」のような透過的なプロキシーを利用する手法について警告している。

 FBIは通知の中で、どんなことが問題になっているかを伝えるために、攻撃者が最近のインシデントで企業や一般ユーザーから金銭を盗むために使用した、多要素認証を迂回するテクニックの具体例を挙げている。

MFAは現在も有効

 FBIは、今回の警告は注意喚起として捉えるべきもので、MFAの効果を疑問視するものではないことを明確にしており、依然として企業にMFAの利用を推奨している。

 MFAを迂回するインシデントや攻撃用ツールの数は増えているものの、こうした攻撃は現在も極めてまれで、大規模に自動化された形で実施されたことはない。Microsoftは10月3日、MFAを迂回したインシデントはあまりにもまれであるため、この種の事例に関する統計さえ持っていないと述べている

 同社によれば、MFAを有効にした場合、アカウントをハッキングする試みの99.9%はブロックされているという。

 またGoogleも、5月に同様のことを述べており、アカウントに復旧用の電話番号を設定して、間接的にSMSを利用したMFAを有効にしているユーザーは、アカウントのセキュリティが向上したとしている。

 全体として見れば、MFAは今も大規模な自動化された攻撃を防ぐには非常に効果的だ。ただしユーザーは、SMSを利用した認証をはじめとして、一部のMFAを迂回する手段が存在することを知っておくべきだろう。

 その上で、SIMスワップのようなソーシャルエンジニアリングや、MFAトークンを奪うことができる透過的なプロキシーが通用しない、より強力なMFAソリューションを選択することが望ましい。

 Microsoftのページには、さまざまなMFAソリューションが、MFA迂回攻撃にどの程度強いかをMicrosoftのセキュリティエンジニアが分析した結果が掲載されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  2. セキュリティ

    脱「PPAP」に活用できる Microsoft 365 の機能をまとめて紹介

  3. コミュニケーション

    マンガで解説、失敗するグループウェア導入の3つの理由とは?導入効果を高める「使いたくなる工夫」

  4. 経営

    いまさら聞けないクラウドインフラの基本ー初級技術書の定番 IaaS for dummies公開中

  5. コミュニケーション

    機能とコストを徹底比較、ニューノーマル時代の企業を支える最新グループウェア5製品の違いとは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]