多要素認証を突破する手法
多要素認証とは、「知識情報」であるIDとパスワードのほか、「所持情報」と「生体情報」の組み合わせによる認証方法のことで、「知識情報」という一つの要素による認証よりセキュリティ性が飛躍的に向上するため、多くのプラットフォームに実装されています。
だが、多要素認証を突破する手口の増加によって、情報セキュリティが脅かされるようになり、「多要素認証疲労攻撃」、「認証情報を窃取する攻撃」、「意図しない構成ミスに対する攻撃」が近年盛んに行われている攻撃の定番手法です。
多要素認証疲労攻撃
多要素認証疲労攻撃は、認証リクエストをわざと乱発することで、拒否の操作に疲れて承認してしまうことを期待する攻撃手法です。
これまでに成功事例も存在しますが、この攻撃を成立させるには、攻撃対象のIDとパスワードを事前に入手する必要があるため、パスワードの定期変更や複雑化が認証情報の盗難を未然に防ぐことができます。
認証情報を窃取する攻撃
認証情報を窃取する攻撃は、情報窃取マルウェアや中間者攻撃でパソコンに保存されているIDとパスワードといった認証用の情報を窃取する攻撃手法です。
この攻撃を成立させるには、現在使用している正しいIDとパスワード情報が必要になるため、パスワードの定期変更や複雑化が認証情報の盗難を未然に防ぐことができます。
意図しない構成ミスに対する攻撃
意図しない構成ミスに対する攻撃は、不適切に構成されたネットワークのポート、チャネル、無線アクセスポイント、ファイアウォール、プロトコルの脆弱性を攻撃する手法です。
IDとパスワード情報がこの攻撃によって窃取された場合もパスワードの定期変更や複雑化を適切に行っておけば、被害拡大や二次被害を未然防止、あるいは軽減することができます。
攻撃への対抗は、パスワードの定期変更や複雑化といった基本的な管理策がセキュリティ機能を発揮することができるので、従業員の情報安全対策意識を向上させる社内の基本的な情報セキュリティ教育は、企業の情報安全を脅かす事態を防ぐうえで重要な要素であると言えるでしょう。