Microsoft 365のMFA（多要素認証）を無効化した「AiTM」の危険性とは：Microsoft 365への攻撃で検証する「MFA」の安全性【後編】

「Microsoft 365」に不正ログインし、従業員に送金させようとしたビジネスメール詐欺（BEC）事件の詳細が明らかになった。攻撃者がログインを成功させるために使った巧妙な手口とは。

[Arielle Waldman，TechTarget]

　Microsoftがサブスクリプション形式で提供する、OSやオフィスアプリケーションを中心とした製品／サービス群「Microsoft 365」。その多要素認証（MFA）を回避し、Microsoft 365のアカウントになりすます攻撃が発生した。セキュリティベンダーのMitiga Securityは、こうした攻撃に関する調査結果を公開。攻撃者が使ったのは「AiTM」（Adversary in The Middle）という手法だと同社は説明する。AiTMとは何なのか。その巧妙さとは。

Microsoft 365ユーザーをわなに落とした「AiTM」の“ずるい手口”

併せて読みたいお薦め記事

連載：Microsoft 365への攻撃で検証する「MFA」の安全性

• 前編：Microsoft 365の「MFA」（多要素認証）が破られる　その巧妙な手口とは？
• 中編：Microsoft 365のMFA（多要素認証）が破られた原因は脆弱性ではなかった？

Microsoft製品は狙われている

• 「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた
• 「Exchange Server」にゼロデイ攻撃　Microsoftが定例外のパッチ公開

　Mitiga Securityの調査によって、AiTM（MITM：Man in The Middle、中間者攻撃とも）の巧妙さが浮き彫りになった。AiTMとは、正規のユーザーと正規のWebサイトとの間に、攻撃者が割り込む攻撃手法だ。今回の攻撃では、攻撃者はフィッシング（データ窃取のための詐欺）サイトを利用してパスワードを盗み出し、セッションハイジャックを実行してMFAを迂回（うかい）した。セッションハイジャックはユーザーを識別するための情報であるセッションIDを盗取して、本人になりすまして通信する手口を指す。

　今回の攻撃で攻撃者は、ログイン情報を入手するためのメールを、電子契約システム「DocuSign」から送信されたかのように見せかけた。そのため、ユーザーはフィッシング攻撃に対する警戒心が強くても“わな”にはまってしまう可能性があると、Mitiga Securityはみる。

　「ユーザーはMicrosoft 365にログインしようとしているつもりでも、実際は偽のWebサイトにログインしようとしている。同時に、その偽のWebサイトにログインすると攻撃者にMicrosoft 365へのログインを許すことになる」。Mitiga Securityの最高技術責任者（CTO）兼共同設立者を務めるオファー・マオ氏は、こう説明する。マオ氏によると、この手口の効果を高めるためのオープンソースの技術があり、攻撃者はそれを簡単に入手できる。

　セキュリティ専門家はMFAが登場した当初から、AiTMが起こり得ることを認識していた。ただし実行するには、従来型のフィッシングと比べて、より高度な知識が必要なため、実際にはAiTMはほとんど見られなかった。AiTMが目立つようになったのは、2020年以降にテレワークの普及が追い風になり、企業がMFAを採用する動きが広がったからだ。「新しい防御策が普及し始めると、攻撃者は必ずそれを回避する方法を探す」（マオ氏）

　マオ氏によると、MFAは今後数年で、フィッシング攻撃対策としての有効性を失う可能性が高い。企業がセキュリティを強化するためには、「3要素認証」（3FA）を実施したり、攻撃者に狙われていないことを検証するためのデバイスを設置したりするなど、追加対策が急務だと同氏は指摘する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。