Microsoft 365の「MFA」（多要素認証）が破られる その巧妙な手口とは？：Microsoft 365への攻撃で検証する「MFA」の安全性【前編】

「Microsoft 365」で発生したアカウント不正利用問題。その原因として専門家は、Microsoft 365の多要素認証（MFA）機能にある、セキュリティ設計上の“穴”の存在を指摘する。それは何なのか。

[Arielle Waldman，TechTarget]

　サイバー犯罪者が重要な取引情報を盗み出す目的で、「Microsoft 365」に入り込むための手法を発見した。Microsoft 365は、Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品／サービス群だ。

　セキュリティベンダーのMitiga Securityは2022年8月24日（米国時間）、あるビジネスメール詐欺（BEC）事件の調査結果を同社の公式ブログで公開した。この事件では、攻撃者は標的企業の経営幹部のMicrosoft 365アカウントを不正に利用し、その経営幹部を装って従業員に数百万ドルを送金させようとしたという。Mitiga Securityはこの事件を受け、Microsoft 365の多要素認証（MFA）機能のセキュリティ設計に疑問を呈している。

Microsoft 365の「MFA」を迂回した巧みな手口とは？

併せて読みたいお薦め記事

Microsoft製品は狙われている

• 「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた
• 「Exchange Server」にゼロデイ攻撃　Microsoftが定例外のパッチ公開

　Mitiga Securityによると、今回の事件で攻撃者は「AiTM」（Adversary in The Middle）という手法を使い、Microsoft 365にアクセスした。AiTM（MITM：Man in The Middle、中間者攻撃とも）は、正規のユーザーと正規のWebサイトとの間に、攻撃者が割り込む攻撃手法だ。

　今回の事件では、攻撃者はフィッシング（データ窃取のための詐欺）サイトを利用してパスワードを盗み出し、セッションハイジャックによってMFAを迂回（うかい）した。セッションハイジャックはユーザーを識別するためのデータであるセッションIDを盗取して、本人になりすまして通信することを指す。

　攻撃者はMicrosoft 365のアカウントに入り込み、新しい認証要素を追加し、長時間にわたってログイン状態を保持できたと、Mitiga Securityは説明する。新しい認証要素の設定について、システムからユーザーへの通知はなかったという。

　Microsoft 365は通常、セッションを数日後に無効化する。そのためユーザーは再びMFAを実施してログインする必要がある。Mitiga Securityの最高技術責任者（CTO）兼共同設立者であるオファー・マオ氏は米TechTargetの取材に対し、「攻撃者は高度なBECを成功させるために、ログイン状態を数週間保持する必要がある」と説明する。

---

　中編は、攻撃者はなぜ新しい認証要素を追加できたのかを見る。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。