多要素認証(MFA)は長らく、アイデンティティとアクセスの管理の要でした。企業は、ユーザーに従来のユーザー名/パスワードの組み合わせに加えて補完的な認証要素(指紋、ワンタイムパスコード、ハードキーなど)を要求することによって、盗まれた資格情報を使った攻撃に対するネットワークとデータの保護を強化することができます。
しかし、攻撃者はMFAをかいくぐる新たな方法を見つけています。Microsoftが最近検出した10,000を超える組織を標的とするフィッシングキャンペーンでは、オンパス攻撃の手法が使われました。攻撃者がリバースプロキシサイトを使ってMicrosoft 365ログインページを偽装し、そこからユーザーのパスワードとセッションクッキーを傍受してMFAをバイパスし、数多くのメールアカウントにアクセスできるというものでした。
攻撃者は正当なユーザーアカウントに入ると、疑いを持たない送信先に標的型ビジネスメール詐欺(BEC)攻撃を仕掛け、ユーザーが後にパスワードを変更してもアカウントへのアクセスを維持できるようにする受信箱ルールを作成します。
この攻撃は、MFAを取り入れている組織への警鐘となりました。MFAという対策は結局のところ、ユーザーアイデンティティを検証し、機密の情報やシステムへのアクセスを認める前に、従業員、請負業者、ベンダー、その他の被許可者が自称する人物であることを検証するものです。攻撃者がまんまと正当なユーザーになりすますことができれば、攻撃され放題になってしまうのです。
しかし、MFAは弱点ではありませんし、MFAを止めて堅牢性が劣るアイデンティティ・アクセス管理手法を使うべきでもありません。むしろ、高度なサイバー攻撃からユーザーとデータを保護するためには、包括的なZero Trustセキュリティ戦略が必要なのです。強力な認証手段で企業ネットワーク上のすべてのアカウント、アプリケーション、エンドポイントを継続的に検証・監視する戦略です。
攻撃者が最近使ったMFA回避手法は、オンパス攻撃だけではありません。FBIとCISAの報告によれば、ロシアのサイバー攻撃が総当たりパスワード類推攻撃によって非政府組織の休眠アカウントにアクセスしています。攻撃者は、いったんアカウントに入ると「PrintNightmare」という脆弱性を悪用し、システム特権を与えて標準的なMFA制御をかいくぐるコードを実行しました。
他のケースでは、人のエラーによってMFAが破られています。シラキュース大学が内部メールシステムにMFAを実装した後、攻撃者が「MFA疲労」と呼ばれる攻撃によって学生や職員にスパムを仕掛けようとしました 。攻撃者はフィッシングやその他の手口でメールの資格情報にアクセスし、ユーザーデバイスへ複数のMFAリクエストを送信しました。ユーザーがリクエストにうんざりして拒否を怠ることを期待したのです。ユーザーが認証リクエストを承認してしまうと(たとえそれがうるさい電話通知を止めようとしただけであっても)、攻撃者は大学のリソースやアカウントへさらに深くアクセスできるようになりました。
確かに攻撃者は常にMFAをかいくぐる新たな手口を見つけますが、だからといってMFAプロトコル自体に弱点があるわけではありません。むしろその逆です。アン・ニューバーガー米国家安全保障担当副補佐官(サイバー・先端技術担当)によれば、MFAはサイバー攻撃の試みの90%を防止しているといいます。サイバー攻撃は複雑で、攻撃者はアカウントに侵入するためにMFAを狙っているだけではないことを忘れてはなりません。フィッシング、マルウェア、総当たりパスワード類推攻撃、パッチ未適用の脆弱性悪用、資格情報窃盗、その他の戦術の組み合わせなど、一連の攻撃の一環としてMFAを標的にしているのです。
どんなセキュリティ戦術も、それだけではますます高度化する攻撃から組織を守ることはできません。攻撃者が機密のアカウントにアクセスするために複数の戦術を用いるよ うに、組織も多面的なセキュリティ戦略でユーザーとデータを保護する必要があります。
Zero Trustは、組織のリソースへアクセスしようとするユーザーを本質的に信頼しない最新サイバーセキュリティの基本原則です。これにより、攻撃者が組織の外部にいようと内部にいようと、ネットワークやアカウントへの侵入が難しくなります。
実際、Zero Trustプラットフォームを使えば、組織は以下を含む複数の方法でネットワークを保護することができます。
多要素認証:MFAは、ワンタイムパスワード、プッシュ通知、ユーザー生体認証(指紋認証、顔認証など)、セキュリティキー、その他の方法でユーザーとデバイスのアイデンティティを検証できます。
継続的な監視と確認:ユーザーとデバイスの再認証が絶えず必要なため、攻撃者が盗んだ資格情報を使っても、ネットワークへの一貫したアクセスは難しくなります。
最小特権アクセス:ユーザーは、ネットワーク全体ではなく使う必要のあるリソースにだけアクセスを許されます。
デバイスアクセス制御:ネットワークに接続するデバイスは許可が必要で、不審なアクティビティの兆候がないか監視されます。
ラテラルムーブメントの防止:マイクロセグメンテーションがネットワークの特定エリアへのアクセスを制限し、ラテラルムーブメントの防止に役立ちます。
Zero Trust戦略によって、MFAベースの攻撃の成功率を大幅に下げることができます。たとえ攻撃者がユーザーアカウントにアクセスできたとしても、ネットワーク全体に自由にアクセスできるわけではありませんし、ユーザーとデバイスのアイデンティティの継続的な再認証を経ずにラテラルに動くこともできません。
Cloudflare Zero Trustは、高度なサイバー攻撃から企業ネットワークとユーザーを守ります。MFAを悪用しようとする攻撃にも有効です。Cloudflareの統合Zero Trustプラットフォームを使えば、クラウド、オンプレイス、SaaSアプリに一貫して最小特権アクセス制御を適用することが簡単にでき、攻撃者が機密のシステムやデータに侵入したり、組織内をラテラルに移動することを防げます。
この記事は 、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事を読めば、以下が理解できます。
攻撃者がフィッシング戦術をどのように使ってMFA(多要素認証)を回避しているか
MFAが突破されるとデータ窃盗やその他の攻撃がどのように起こるか
MFA回避を阻止するための主な戦略
MFAは、堅牢なアイデンティティ・アクセス管理戦略の一環として欠かせません。Zero Trustセキュリティモデル全体におけるMFAの位置づけについては、ソリューションブリーフ「強力な認証がフィッシング攻撃阻止にどう役立つか」をご覧ください。