Microsoft 365のMFA(多要素認証)が破られた原因は脆弱性ではなかった?Microsoft 365への攻撃で検証する「MFA」の安全性【中編】

「Microsoft 365」に不正ログインした攻撃者はある手法を使い、長時間にわたりログイン状態を継続することに成功した。その原因は脆弱性ではないという。攻撃者は何を悪用したのか。

2022年11月02日 05時00分 公開
[Arielle WaldmanTechTarget]

 セキュリティベンダーのMitiga Securityは、「Microsoft 365」を狙ったビジネスメール詐欺(BEC)の事件を調査した。Microsoft 365は、Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品/サービス群だ。

 攻撃者はMicrosoft 365の多要素認証(MFA)を回避してアカウントに不正にログインし、標的となった組織の従業員に送金させようとした。問題はMicrosoft 365の脆弱(ぜいじゃく)性ではないとMitiga Securityは説明する。どういうことなのか。

攻撃者はなぜMFAを回避できたのか

 今回の事件で、Microsoft 365のセキュリティ対策は設計通りに機能したが、それでも攻撃者はMFAを回避できた。つまりMicrosoft 365のセキュリティ設計に問題があるとMitiga Securityはみる。

 攻撃者はMicrosoft 365のアカウントに入り込んだ後、長時間にわたってログイン状態を保持するために、新しい認証要素を追加した。どのようにして追加したのか、Mitiga Securityは当初、その方法が分からなかったという。

 Mitiga Securityは脆弱(ぜいじゃく)性の可能性も視野に入れたが、調査を進めるうちに、ある問題が判明した。「セッションが有効であれば、MFAを再び要求されることなく、認証要素を追加できることに気付いた」と、同社の最高技術責任者(CTO)兼共同設立者であるオファー・マオ氏は述べる。攻撃者はその弱点を突き、攻撃に成功したということだ。同社の調査結果について、Microsoftはコメントしていない。

 今回の事件には他にも「驚くべき点がある」とMitiga Securityは言う。企業がアカウントのセキュリティ設定にアクセスして、ユーザー認証方法を変更する際に、Microsoft 365がMFAを要求しなかったことだ。そのため攻撃者は、フィッシング(データ窃取のための詐欺)サイトを利用してログイン情報さえ入手すれば、新しい認証要素を追加して長時間にわたってログイン状態を継続することが可能だったと、Mitiga Securityは説明する。


 後編は、攻撃者がMicrosoft 365のMFA回避に用いた「AiTM」(Adversary in The Middle)が、なぜ巧妙な手法なのかを見る。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news061.jpg

マーケターの87%は自分の仕事が生成AIなどのテクノロジーに取って代わられることを懸念――Gartner調査
Gartnerがマーケティング人材に関する調査を実施。環境的不確実性と技術的複雑性の中で、...

news058.jpg

Z世代が旅に求める「令和的非日常」とは?
JTBコミュニケーションデザインと伊藤忠ファッションシステムが、Z世代の旅に関する意識...

news094.jpg

電通が「AI×クリエイティブ」の強みを生かしたビジネスコンサルティングサービスを提供開始
電通は「AI×クリエイティブ」で企業の事業やサービスの開発を支援する新サービス「AIQQQ...