Microsoftによると、侵害されたMicrosoftアカウントのほぼすべてが、多要素認証(MFA)を導入していなかった。MFAが利用可能であるにも関わらず、有効にしている組織はごく一部だという。
Microsoftの「Cyber Signals」報告書は、クラウドベースのIDプラットフォーム「Azure Active Directory」(Azure AD)のユーザーのうち、2021年12月時点で、MFAや、「Microsoft Authenticator」アプリといったパスワードレスソリューションなどの「強力なアイデンティティー認証」を導入している企業はわずか22%だと指摘している。
MFAは、リモートからのフィッシング攻撃に対する優れた防御策の1つだ。攻撃者が盗んだパスワードで「Office 365」のアカウントにログインしようとしても、ユーザーのスマートフォンなど、第2要素への物理的なアクセスが必要だからだ。
Microsoftは以前、MFAでアカウント侵害攻撃の99.9%以上をブロックできると述べていた。
一部の組織が有効にしていない技術的な理由の1つとして、Office 365でMFAに対応していない「基本認証」を有効にしていることが考えられる。「モダン認証」であればMFAを有効にできる。
報告書は、アカウントアイデンティティーに対する攻撃の規模拡大についても取り上げている。同社は2021年に、Azure ADにおける総当たり攻撃によるパスワードの不正入手や、フィッシング行為数百億件をブロックしたという。これらは、SolarWindsのサプライチェーン攻撃に関与していたとみられるNOBELIUMなど、国家を後ろ盾とする攻撃者や、ランサムウェア関連の攻撃者によるものが含まれるとみられる。
Microsoftのセキュリティ、コンプライアンス、アイデンティティー担当バイスプレジデントVasu Jakkal氏は、ブログ記事で次のように述べている。「2021年1月から2021年12月にかけて、Azure ADでは256億を超えるブルートフォース認証攻撃(総当たり攻撃)をブロックしたほか、『Microsoft Defender for Office 365』で、357億ものフィッシングメールを阻止した」
しかし、一部のフィッシングメールや攻撃が防御網をすり抜けている可能性がある。MFAを有効にしているユーザーは、侵害のリスクが大きく低減するが、強力な認証を導入していない約78%のAzure ADユーザーは侵害のリスクにさらされていることになる。
Cyber Signalsレポートは、「ランサムウェアは、デフォルト設定や侵害した認証情報を悪用する」と指摘している。そのため、すべてのエンドユーザーアカウントでパスワードレスソリューションMFAを導入し、経営幹部や管理者、その他の特権アカウントでは優先的に対応することを推奨している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
