Microsoftのセキュリティ研究チームはフィッシング攻撃「AiTM」についての調査結果を公表。この攻撃は多要素認証(MFA)などの認証プロセスをすり抜ける。抜け道をふさぐにはどうすればいいのか。
Microsoftのセキュリティ研究チームは、フィッシング攻撃「Adversary-in-the-Middle」(AiTM)についての調査結果を公表した。この攻撃はフィッシングサイトを利用してパスワードを盗み出し、セッションハイジャック(利用者を識別するための情報であるセッションIDを盗取して、本人になりすまして通信すること)を実行する。これにより多要素認証(MFA)のような認証プロセスを迂回(うかい)する。
MFAを迂回する攻撃は目新しいものではなく、AiTMはMFA特有の脆弱(ぜいじゃく)性を悪用するものでもない。ただし深刻な被害が発生しているため警戒が必要だ。Microsoftによると、企業がAiTMから身を守るための対策は複数ある。
Microsoftは、企業がAiTMから自社を守るため、「条件付きアクセス」によってMFAを補完することを検討すべきだとコメントする。条件付きアクセスとは、以下のような要素を用いて認証要求を判断することだ。
AiTMはMFAの迂回を試みる。重要なのは、その事実が「MFAはIDセキュリティに不可欠であること」を強調していることだ。MFAは、脅威の阻止において依然効果を発揮している。その有効性こそが、AiTMのようにMFAを回避するフィッシング攻撃が存在する理由だ。
IDおよびアクセス管理(IAM)ツールベンダーSilverfortのセキュリティ研究者、シャロン・ナッハショニー氏は次のように話す。「AiTMは、攻撃者がネットワーク侵害後にIDを盗み出す手法や、その結果生じるドミノ効果(侵入に成功したサーバから得られる情報を利用し、他のサーバへの侵入が可能となること)を示す興味深い事例だ」
ナッハショニー氏によると、AiTMの攻撃の流れにあるビジネスメール詐欺(BEC)は、一企業から数千万ドルを吸い上げる手口として使われてきた。Microsoftが述べたように1万社が攻撃の標的になったのだとしたら、攻撃者はネットワークを侵害して得た資格情報を悪用して巨額の利益を得た可能性がある。
AiTMは新しい手法を用いた攻撃ではない。しかし、セッションCookie(ユーザーがWebサービスで認証済みであることを証明し、再度認証しなくてもセッションを続けられるようにする機能)を取得するやり方からは、攻撃者がMFAを迂回するための手法を苦労して編み出したことが伺える。Microsoftが公表している対策に加えて、企業は正規のユーザーに対しMFAによるユーザー認証と位置情報の送信を要求することで、この攻撃を打破し、セキュアな認証プロセスを実現できる。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
