Microsoft 365のMFA(多要素認証)が破られた原因は脆弱性ではなかった?Microsoft 365への攻撃で検証する「MFA」の安全性【中編】

「Microsoft 365」に不正ログインした攻撃者はある手法を使い、長時間にわたりログイン状態を継続することに成功した。その原因は脆弱性ではないという。攻撃者は何を悪用したのか。

2022年11月02日 05時00分 公開
[Arielle WaldmanTechTarget]

 セキュリティベンダーのMitiga Securityは、「Microsoft 365」を狙ったビジネスメール詐欺(BEC)の事件を調査した。Microsoft 365は、Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品/サービス群だ。

 攻撃者はMicrosoft 365の多要素認証(MFA)を回避してアカウントに不正にログインし、標的となった組織の従業員に送金させようとした。問題はMicrosoft 365の脆弱(ぜいじゃく)性ではないとMitiga Securityは説明する。どういうことなのか。

攻撃者はなぜMFAを回避できたのか

 今回の事件で、Microsoft 365のセキュリティ対策は設計通りに機能したが、それでも攻撃者はMFAを回避できた。つまりMicrosoft 365のセキュリティ設計に問題があるとMitiga Securityはみる。

 攻撃者はMicrosoft 365のアカウントに入り込んだ後、長時間にわたってログイン状態を保持するために、新しい認証要素を追加した。どのようにして追加したのか、Mitiga Securityは当初、その方法が分からなかったという。

 Mitiga Securityは脆弱(ぜいじゃく)性の可能性も視野に入れたが、調査を進めるうちに、ある問題が判明した。「セッションが有効であれば、MFAを再び要求されることなく、認証要素を追加できることに気付いた」と、同社の最高技術責任者(CTO)兼共同設立者であるオファー・マオ氏は述べる。攻撃者はその弱点を突き、攻撃に成功したということだ。同社の調査結果について、Microsoftはコメントしていない。

 今回の事件には他にも「驚くべき点がある」とMitiga Securityは言う。企業がアカウントのセキュリティ設定にアクセスして、ユーザー認証方法を変更する際に、Microsoft 365がMFAを要求しなかったことだ。そのため攻撃者は、フィッシング(データ窃取のための詐欺)サイトを利用してログイン情報さえ入手すれば、新しい認証要素を追加して長時間にわたってログイン状態を継続することが可能だったと、Mitiga Securityは説明する。


 後編は、攻撃者がMicrosoft 365のMFA回避に用いた「AiTM」(Adversary in The Middle)が、なぜ巧妙な手法なのかを見る。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news055.jpg

トランプ氏当選でイーロン・マスク氏に追い風 過去最高の投稿数達成でXは生き延びるか?
2024年の米大統領選の当日、Xの利用者数が過去最高を記録した。Threadsに流れていたユー...

news104.jpg

トランプ氏圧勝で気になる「TikTok禁止法」の行方
米大統領選で共和党のトランプ前大統領が勝利した。これにより、TikTokの米国での将来は...

news190.jpg

インバウンド消費を左右する在日中国人の影響力
アライドアーキテクツは、独自に構築した在日中国人コミュニティーを対象に、在日中国人...