Microsoft 365のMFA（多要素認証）が破られた原因は脆弱性ではなかった？：Microsoft 365への攻撃で検証する「MFA」の安全性【中編】

「Microsoft 365」に不正ログインした攻撃者はある手法を使い、長時間にわたりログイン状態を継続することに成功した。その原因は脆弱性ではないという。攻撃者は何を悪用したのか。

[Arielle Waldman，TechTarget]

　セキュリティベンダーのMitiga Securityは、「Microsoft 365」を狙ったビジネスメール詐欺（BEC）の事件を調査した。Microsoft 365は、Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品／サービス群だ。

　攻撃者はMicrosoft 365の多要素認証（MFA）を回避してアカウントに不正にログインし、標的となった組織の従業員に送金させようとした。問題はMicrosoft 365の脆弱（ぜいじゃく）性ではないとMitiga Securityは説明する。どういうことなのか。

攻撃者はなぜMFAを回避できたのか

併せて読みたいお薦め記事

連載：Microsoft 365への攻撃で検証する「MFA」の安全性

• 前編：Microsoft 365の「MFA」（多要素認証）が破られる　その巧妙な手口とは？

Microsoft製品は狙われている

• 「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた
• 「Exchange Server」にゼロデイ攻撃　Microsoftが定例外のパッチ公開

　今回の事件で、Microsoft 365のセキュリティ対策は設計通りに機能したが、それでも攻撃者はMFAを回避できた。つまりMicrosoft 365のセキュリティ設計に問題があるとMitiga Securityはみる。

　攻撃者はMicrosoft 365のアカウントに入り込んだ後、長時間にわたってログイン状態を保持するために、新しい認証要素を追加した。どのようにして追加したのか、Mitiga Securityは当初、その方法が分からなかったという。

　Mitiga Securityは脆弱（ぜいじゃく）性の可能性も視野に入れたが、調査を進めるうちに、ある問題が判明した。「セッションが有効であれば、MFAを再び要求されることなく、認証要素を追加できることに気付いた」と、同社の最高技術責任者（CTO）兼共同設立者であるオファー・マオ氏は述べる。攻撃者はその弱点を突き、攻撃に成功したということだ。同社の調査結果について、Microsoftはコメントしていない。

　今回の事件には他にも「驚くべき点がある」とMitiga Securityは言う。企業がアカウントのセキュリティ設定にアクセスして、ユーザー認証方法を変更する際に、Microsoft 365がMFAを要求しなかったことだ。そのため攻撃者は、フィッシング（データ窃取のための詐欺）サイトを利用してログイン情報さえ入手すれば、新しい認証要素を追加して長時間にわたってログイン状態を継続することが可能だったと、Mitiga Securityは説明する。

---

　後編は、攻撃者がMicrosoft 365のMFA回避に用いた「AiTM」（Adversary in The Middle）が、なぜ巧妙な手法なのかを見る。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。