見出し画像

「多要素認証疲労攻撃」とは 〜多要素認証の利用=安全ではなくなってきている?!〜

いしはまゆうき@LRMの情報セキュリティコンサルタント

先日多要素認証疲労攻撃に要注意、Uberが被害に遭うというニュースを目にしました。
皆さんの中でも「多要素認証疲労攻撃」という言葉に聞き馴染みがない方も少なくないのではないでしょうか?
記事を見ながら今後重要になってくるであろうキーワードだと思いましたので、今回はこの多要素認証疲労攻撃というサイバー攻撃手法についてnoteとしてまとめてみようと思います!

多要素認証疲労攻撃とはなにか?

従来の主な不正ログイン手法

これまでの不正ログイン等は、「総当たり攻撃」「パスワードリスト攻撃」などパスワードを狙った攻撃が主とされてきました。
そこで仮にパスワードが狙われたとしても、さらに別の認証方法を使わなければログインができないように多要素認証(ワンタイムパスワード、生体認証、承認アプリ等)が積極的に活用されるようになってきました。

【補足】

”総当たり攻撃”
「00001」「00002」のようにパスワード設定で可能な組み合わせを全て試す攻撃方式

"パスワードリスト攻撃"
別の脆弱なサービスなど、何らかの方法で入手したIDとパスワードを用いて不正ログインを試みる攻撃手法


多要素認証を狙った攻撃

前述のように、不正ログイン対策として重宝されるようになった多要素認証ですが、防御策が進化すればもちろん攻撃者側も進化するようになります。
そこで生まれたのが多要素認証疲労攻撃と言えます。

多要素認証疲労攻撃について

改めて今回話題となっている多要素認証疲労攻撃の概要についてご紹介します。

この攻撃はまず、攻撃者が対象者のログイン情報を持っていることを前提とします。
その上で攻撃者はそのログイン情報を用いて何度もログインを試みます。
そうすると多要素認証の二段階目として、対象者には、「ログインを承認しますか?」「ログインは本人ですか?」といったような承認依頼通知が届きます。
対象者ももちろん最初は「拒否」するでしょうが、もしそれが何十回何百回と行われると、1回くらい操作ミスなどで許可してしまうこともあるでしょう。攻撃者は、その1回を狙います。

というように、対象者が多要素認証の通知に疲れてしまって認証を許可してしまうことを狙った攻撃が「多要素認証疲労攻撃」ということです。

多要素認証疲労攻撃の事例

改めて「多要素認証疲労攻撃に要注意、Uberが被害に遭う」という記事で紹介された事例について整理していきます。

今回の事例におけるUber利用者への多要素認証疲労攻撃では、メッセージツールWhatAppを介して対象者に対してUberのITチームになりすまし、「通知を止めるためには承認するしかない」と対象者を騙したとのことです。

多要素認証疲労攻撃の被害に遭わないために今すぐできること

多要素認証は便利に活用すればやはりセキュリティレベルを高められることには違いありません。
ですので、しっかりできることを行うことで高いセキュリティレベルを保ちながら多要素認証を活用できるようにしましょう!

パスワードを使いまわさない・複雑なパスワードを作成する

そもそも攻撃が行われる前提となるパスワードを把握されるのは、何らか別の脆弱なサービスから漏えいしている、簡単に解読されるようなパスワードを利用しているということが大多数だと思います。
ですので、パスワードの使い回しや簡単なパスワード利用を止めるだけで、不正ログインや多要素認証疲労攻撃のリスクを減らすことができます。

ワンタイムパスワードや生体認証などの多要素認証手法を活用する

現在の多要素認証疲労攻撃は、登録したデバイスなどで「ログインを承認する」という方法の多要素認証を想定したものになります。
つまり、そもそも多要素認証の方法をワンタイムパスワードや生体認証にすることで、多要素認証疲労攻撃の被害に遭いづらくすることが可能です。

認識していない承認通知が届く場合には、ITチームやサービスのサポートに問い合わせる

多要素認証疲労攻撃では、事例でも紹介したようにサービスのサポートチームや組織内のITチーム・システム管理者になりすまして「承認してください」という連絡をしてくることが多いです。
もし「自分はログインをしていないはずなのに承認依頼通知がくる」、「複数回通知が届く」など認識していない・違和感ある通知が届く場合には、相談や事実確認を行うよう周知・教育を行っておきましょう。

ログイン回数や承認依頼通知の回数制限を行う

もし機能上可能であるのであれば、例えば短時間に複数回ログインが行われた場合にロックをかけたり、承認依頼通知が大量に届く場合には一定時間停止できるような機能を設定するのも有効かもしれません。
また、クラウドサービスなどを選定する際にも、この機能をはじめとして、多要素認証疲労攻撃対策になるような機能が存在するか確認することもおすすめです。

まとめ

多要素認証は、不正ログインを防ぐための対策として非常に有効な方法です。
一方で対策が高度化すればそれだけ攻撃者の攻撃手法も進化していくことがが考えられるので、「多要素認証を使っているから安心」ではなく、その対策にも穴がないかしっかりとチェックしておくようにしましょう!

この記事が気に入ったらサポートをしてみませんか?