Microsoft 365の「MFA」(多要素認証)が破られる その巧妙な手口とは?Microsoft 365への攻撃で検証する「MFA」の安全性【前編】

「Microsoft 365」で発生したアカウント不正利用問題。その原因として専門家は、Microsoft 365の多要素認証(MFA)機能にある、セキュリティ設計上の“穴”の存在を指摘する。それは何なのか。

2022年10月27日 10時00分 公開
[Arielle WaldmanTechTarget]

 サイバー犯罪者が重要な取引情報を盗み出す目的で、「Microsoft 365」に入り込むための手法を発見した。Microsoft 365は、Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品/サービス群だ。

 セキュリティベンダーのMitiga Securityは2022年8月24日(米国時間)、あるビジネスメール詐欺(BEC)事件の調査結果を同社の公式ブログで公開した。この事件では、攻撃者は標的企業の経営幹部のMicrosoft 365アカウントを不正に利用し、その経営幹部を装って従業員に数百万ドルを送金させようとしたという。Mitiga Securityはこの事件を受け、Microsoft 365の多要素認証(MFA)機能のセキュリティ設計に疑問を呈している。

Microsoft 365の「MFA」を迂回した巧みな手口とは?

 Mitiga Securityによると、今回の事件で攻撃者は「AiTM」(Adversary in The Middle)という手法を使い、Microsoft 365にアクセスした。AiTM(MITM:Man in The Middle、中間者攻撃とも)は、正規のユーザーと正規のWebサイトとの間に、攻撃者が割り込む攻撃手法だ。

 今回の事件では、攻撃者はフィッシング(データ窃取のための詐欺)サイトを利用してパスワードを盗み出し、セッションハイジャックによってMFAを迂回(うかい)した。セッションハイジャックはユーザーを識別するためのデータであるセッションIDを盗取して、本人になりすまして通信することを指す。

 攻撃者はMicrosoft 365のアカウントに入り込み、新しい認証要素を追加し、長時間にわたってログイン状態を保持できたと、Mitiga Securityは説明する。新しい認証要素の設定について、システムからユーザーへの通知はなかったという。

 Microsoft 365は通常、セッションを数日後に無効化する。そのためユーザーは再びMFAを実施してログインする必要がある。Mitiga Securityの最高技術責任者(CTO)兼共同設立者であるオファー・マオ氏は米TechTargetの取材に対し、「攻撃者は高度なBECを成功させるために、ログイン状態を数週間保持する必要がある」と説明する。


 中編は、攻撃者はなぜ新しい認証要素を追加できたのかを見る。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news050.jpg

ウェルビーイング調査 今後最も力を入れたい分野は「身体」、優先度が低いのは?
ASAKO サステナラボは、独自の「60のウェルビーイング指標」により生活者の充足度を数値...

news068.png

10代の7割超がショート動画を「ほぼ毎日見ている」――LINEリサーチ調査
LINEリサーチは全国の男女を対象に、ショート動画に関する調査を実施しました。

news158.png

自社の変化に対して行動する従業員はわずか2割 なぜそうなる?――電通調査
自社の変化に対する従業員の意識について確認するための調査結果です。