2022年09月16日 05時00分 公開
特集/連載

AiTMには「多要素認証」(MFA)も効果なし? 抜け道をふさぐ方法は多要素認証(MFA)の抜け道をふさぐ【後編】

Microsoftのセキュリティ研究チームはフィッシング攻撃「AiTM」についての調査結果を公表。この攻撃は多要素認証(MFA)などの認証プロセスをすり抜ける。抜け道をふさぐにはどうすればいいのか。

[Alex ScroxtonTechTarget]

 Microsoftのセキュリティ研究チームは、フィッシング攻撃「Adversary-in-the-Middle」(AiTM)についての調査結果を公表した。この攻撃はフィッシングサイトを利用してパスワードを盗み出し、セッションハイジャック(利用者を識別するための情報であるセッションIDを盗取して、本人になりすまして通信すること)を実行する。これにより多要素認証(MFA)のような認証プロセスを迂回(うかい)する。

 MFAを迂回する攻撃は目新しいものではなく、AiTMはMFA特有の脆弱(ぜいじゃく)性を悪用するものでもない。ただし深刻な被害が発生しているため警戒が必要だ。Microsoftによると、企業がAiTMから身を守るための対策は複数ある。

多要素認証(MFA)の抜け道をふさぐ方法とは?

 Microsoftは、企業がAiTMから自社を守るため、「条件付きアクセス」によってMFAを補完することを検討すべきだとコメントする。条件付きアクセスとは、以下のような要素を用いて認証要求を判断することだ。

  • ユーザーまたはグループメンバーシップ
  • IPアドレスにひも付く位置情報
  • デバイスの状態

 AiTMはMFAの迂回を試みる。重要なのは、その事実が「MFAはIDセキュリティに不可欠であること」を強調していることだ。MFAは、脅威の阻止において依然効果を発揮している。その有効性こそが、AiTMのようにMFAを回避するフィッシング攻撃が存在する理由だ。

 IDおよびアクセス管理(IAM)ツールベンダーSilverfortのセキュリティ研究者、シャロン・ナッハショニー氏は次のように話す。「AiTMは、攻撃者がネットワーク侵害後にIDを盗み出す手法や、その結果生じるドミノ効果(侵入に成功したサーバから得られる情報を利用し、他のサーバへの侵入が可能となること)を示す興味深い事例だ」

 ナッハショニー氏によると、AiTMの攻撃の流れにあるビジネスメール詐欺(BEC)は、一企業から数千万ドルを吸い上げる手口として使われてきた。Microsoftが述べたように1万社が攻撃の標的になったのだとしたら、攻撃者はネットワークを侵害して得た資格情報を悪用して巨額の利益を得た可能性がある。

 AiTMは新しい手法を用いた攻撃ではない。しかし、セッションCookie(ユーザーがWebサービスで認証済みであることを証明し、再度認証しなくてもセッションを続けられるようにする機能)を取得するやり方からは、攻撃者がMFAを迂回するための手法を苦労して編み出したことが伺える。Microsoftが公表している対策に加えて、企業は正規のユーザーに対しMFAによるユーザー認証と位置情報の送信を要求することで、この攻撃を打破し、セキュアな認証プロセスを実現できる。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news200.png

韓国と台湾の訪日旅行客 旅マエ検索データで分かった行きたい場所の傾向は?
グローバルマーケティングを手がけるアウンコンサルティングが、2023年の訪日外国人客の...

news150.jpg

新進D2CコスメブランドのCMOが激推し 「Meta Advantage+ ショッピングキャンペーン」とは?
Meta幹部はD2CコスメブランドJones Road BeautyのCMOとのラウンドテーブルで、2024年に広...

news091.jpg

2023年の動画広告市場は前年比112%の6253億円 縦型動画広告が高成長――サイバーエージェント調査
サイバーエージェントが10回目となる国内動画広告市場の調査結果を発表しました。