AiTMには「多要素認証」（MFA）も効果なし？ 抜け道をふさぐ方法は：多要素認証（MFA）の抜け道をふさぐ【後編】

Microsoftのセキュリティ研究チームはフィッシング攻撃「AiTM」についての調査結果を公表。この攻撃は多要素認証（MFA）などの認証プロセスをすり抜ける。抜け道をふさぐにはどうすればいいのか。

[Alex Scroxton，TechTarget]

　Microsoftのセキュリティ研究チームは、フィッシング攻撃「Adversary-in-the-Middle」（AiTM）についての調査結果を公表した。この攻撃はフィッシングサイトを利用してパスワードを盗み出し、セッションハイジャック（利用者を識別するための情報であるセッションIDを盗取して、本人になりすまして通信すること）を実行する。これにより多要素認証（MFA）のような認証プロセスを迂回（うかい）する。

　MFAを迂回する攻撃は目新しいものではなく、AiTMはMFA特有の脆弱（ぜいじゃく）性を悪用するものでもない。ただし深刻な被害が発生しているため警戒が必要だ。Microsoftによると、企業がAiTMから身を守るための対策は複数ある。

多要素認証（MFA）の抜け道をふさぐ方法とは？

併せて読みたいお薦め記事

連載：多要素認証（MFA）の抜け道をふさぐ

• 前編：「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた
• 中編：「Microsoft 365」の資格情報はこうして盗まれる　企業が取るべき対策は？

多要素認証（MFA）関連の注目記事

• 多要素認証（MFA）に不信感　Twitter“認証データを広告転用”問題のインパクト
• 「めんどくさい」は通じない　やはり「多要素認証」が欠かせない理由とは

　Microsoftは、企業がAiTMから自社を守るため、「条件付きアクセス」によってMFAを補完することを検討すべきだとコメントする。条件付きアクセスとは、以下のような要素を用いて認証要求を判断することだ。

• ユーザーまたはグループメンバーシップ
• IPアドレスにひも付く位置情報
• デバイスの状態

　AiTMはMFAの迂回を試みる。重要なのは、その事実が「MFAはIDセキュリティに不可欠であること」を強調していることだ。MFAは、脅威の阻止において依然効果を発揮している。その有効性こそが、AiTMのようにMFAを回避するフィッシング攻撃が存在する理由だ。

　IDおよびアクセス管理（IAM）ツールベンダーSilverfortのセキュリティ研究者、シャロン・ナッハショニー氏は次のように話す。「AiTMは、攻撃者がネットワーク侵害後にIDを盗み出す手法や、その結果生じるドミノ効果（侵入に成功したサーバから得られる情報を利用し、他のサーバへの侵入が可能となること）を示す興味深い事例だ」

　ナッハショニー氏によると、AiTMの攻撃の流れにあるビジネスメール詐欺（BEC）は、一企業から数千万ドルを吸い上げる手口として使われてきた。Microsoftが述べたように1万社が攻撃の標的になったのだとしたら、攻撃者はネットワークを侵害して得た資格情報を悪用して巨額の利益を得た可能性がある。

　AiTMは新しい手法を用いた攻撃ではない。しかし、セッションCookie（ユーザーがWebサービスで認証済みであることを証明し、再度認証しなくてもセッションを続けられるようにする機能）を取得するやり方からは、攻撃者がMFAを迂回するための手法を苦労して編み出したことが伺える。Microsoftが公表している対策に加えて、企業は正規のユーザーに対しMFAによるユーザー認証と位置情報の送信を要求することで、この攻撃を打破し、セキュアな認証プロセスを実現できる。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。