[記事紹介] ランサムウエア被害額急増、多 要素認証は時代遅れ？!

日本では角川のランサムウエア被害と4.7億ドルの身代金を支払っていた？というのがホットな話題ですが、衝撃的な内容の記事を見つけたので紹介します。

「KADOKAWAがサイバー恐喝に屈す」報道　日本企業のリスク高まる

この件では各方面から非難や推測のコンテンツが上がっていますが、世界的に被害が急増しているそうです。

（記事） ランサムウェアによる損失の 500% 増加を引き起こしている理由は多要素認証の失敗

サイバーセキュリティの世界的リーダーであるソフォスは、年次レポート「ランサムウェアの現状 2024」で、昨年の平均身代金支払額が500%増加し、身代金を支払った組織の平均支払額は200万ドルで、2023年の40万ドルから増加したと明らかにしました。また、保険業界の大手メディアであるRISK & INSURANCEは最近、身代金要求額の中央値が2022年の140万ドルから2023年には2000万ドルに急騰し、支払額は2022年の33万5000ドルから2023年には650万ドルに急増し、500%をはるかに超える増加を記録したと報告しました。

How MFA Failures are Fueling a 500% Surge in Ransomware Losses

ランサムウェアの支払い増加を促す3つの要因

記事では下記の３つを理由に上げていますが、中でも３番目の対策では多要素認証が時代遅れ、という衝撃的？な内容になっています。

• サイバー犯罪者による標的の絞り込み

• フィッシング攻撃における生成AIの活用

• 時代遅れのセキュリティ対策

日本は郵政省とキャリア癒着のせいか、海外水神とかけ離れた歪な端末政策SMSがあったので多要素認証が広がったのはつい最近ですが、やっと追いついたのに…(;_;)という感じです。

MFA （多要素認証）の侵害手法

多要素認証 (MFA) は、数十年にわたって境界セキュリティの主力であり、複数の形式の検証を要求することで企業ネットワークの保護を強化するように設計されています。しかし、20 年前に開発された知識ベース認証 (KBA)、ワンタイム パスワード (OTP)、認証アプリなどの従来の MFA システムは、現代のサイバー攻撃に対してますます不十分になっています。従来の MFA は、成功したランサムウェア攻撃の圧倒的多数で破られています。

thehackernews.com

• フィッシング攻撃: 攻撃者は偽のログイン ページやソーシャル エンジニアリングの戦術を使用して、ユーザーを騙して MFA 認証情報を提供させます。

• SIM スワッピング: 攻撃者は、携帯電話会社に被害者の電話番号を自分が管理する SIM カードに転送するよう説得し、SMS ベースの MFA コードを傍受します。

• 中間者 (MitM) 攻撃: 攻撃者はユーザーとオンライン サービス間の通信を傍受し、MFA トークンを取得して認証に使用します。

• マルウェア: ユーザーのデバイス上の悪意のあるソフトウェアは、認証トークン、パスワード、またはキーストロークをキャプチャし、攻撃者が MFA を回避できるようにします。

• その他のソーシャル エンジニアリング: 攻撃者は、個人を操作して MFA 資格情報を明らかにさせたり、MFA 制御を回避するアクションを実行させたりする可能性があります。

• セッション ハイジャック: 攻撃者はアクティブなセッション トークンにアクセスし (XSS、CSRF 攻撃、セッション固定など)、それを使用して MFA をバイパスします。セッション トークンを取得すると、再認証を必要とせずにユーザーになりすますことができます。

• アカウント回復プロセスの悪用:攻撃者はアカウント回復プロセスの弱点を悪用してユーザーの MFA 設定をリセットし、多くの場合 MFA をバイパスします

対策：　次世代 MFA を実装

生体認証の重要性

• パスワードやトークンとは異なり、生体認証特性は各個人に固有のものであり、複製または盗難が極めて困難です。

• 生体認証データは本質的に個人にリンクされているため、共有や転送が不可能であり、資格情報の盗難のリスクが軽減されます。

• 生体認証は、不適切なパスワードの使用を排除し、一般的な攻撃ベクトルである弱いパスワード、再利用されたパスワード、または侵害されたパスワードに関連するリスクを軽減するのに役立ちます。

• 生体認証は、偽の Web サイトで簡単に取得または入力できないため、フィッシング攻撃の影響を受けません。

• 生体認証は、システムにアクセスする個人が実際に本人であることを確認することで詐欺行為を減らし、個人情報の盗難や不正アクセスを防ぎます。

適切な MFA ソリューションの選択

サイバーセキュリティの状況は常に進化しており、組織のセキュリティ対策も進化する必要があります。フィッシング対策と次世代の MFA ソリューションの有効性を維持するには、継続的な監視と定期的な更新が不可欠です。組織は、新たな脅威に先手を打つために、継続的なセキュリティ評価、システム更新、脅威インテリジェンス統合のフレームワークを確立する必要があります。

紹介記事では最後に、厳しく以下のように締めくくっています。

フィッシング耐性のある次世代 MFA への移行は、単なる技術アップグレードではありません。重要なデータを保護し、壊滅的な経済的損失のリスクを軽減し、サイバー脅威の増大に直面した際の運用の回復力を確保するための戦略的必須事項です。ランサムウェアとの戦いにおいて、メッセージは明確です。レガシー MFA システムではもはや十分ではありませ

実はベトナムでも７月から生体認証が義務化

ベトナムでは７月１日から、アプリ送金では一定額以上で生体認証が義務化されました。なりすましなど様々な振込詐欺の被害が急増しているそうで、その対策ということです。

ベトナム国家銀行（SBV）は、モバイルバンキングの初回利用者や高額取引に対する生体認証の義務化に関する新規制が来月初めに発効することを受け、ベトナムに居住する外国人の生体認証データの登録を商業銀行に求めるガイドラインを発行したとSBV関係者が明らかにした。
SBV情報技術部門の副部長レ・ホアン・チン・クアン氏はベトナムニュースに対し、チップ型IDカードを持たない外国人顧客は銀行支店を訪問でき、銀行職員がカウンターで直接生体認証情報を登録するよう案内すると語った。顧客の生体認証情報は銀行のデータベースに保存され、次回の取引に利用される。

パスワードや OTP などの従来の認証方法は攻撃に対してますます脆弱になっていますが、個人ごとに異なる生体認証はより強力な保護を提供します。

(外国人は生体認証のために銀行支店を訪問するよう勧告)

Foreigners advised to visit bank branches for biometric verification

いつものごとく決まったのが急で、各銀行は当日〜翌週にかけて大混乱。
生体認証の処理中にサーバーがパンクし今週まで混乱が広がりました。
わたしも先週の金曜日に「窓口に来い！」とメールが来たのですが（どうせトラブルで処理できないよねぇ。。。）と言うことでパス！しようと思ったら妻が「言われた通りして、外国人なんだから面倒なことになるよ！」というので口座の銀行窓口へ行きました。　しかし、予想通りアプリがエラー。。。サーバーが応答していませんでした（笑
政府からカナリ強くお達しがあったようで、ベトナムでは珍しく日曜日に再度連絡が来て窓口へ出頭。今度は無事に手続きできました。（了