詐欺メールには「MFA」が有効でも“新手のフィッシング攻撃”には使えない？：フィッシング攻撃に強いMFA【前編】

エンドユーザーから偽のメールを通じて機密情報を引き出すフィッシング攻撃は、企業が対処すべきサイバー攻撃だ。多要素認証（MFA）でも防げない新手のフィッシング攻撃とは。

[Amy Larsen DeCarlo，TechTarget]

　フィッシング攻撃の勢いが増している。IBMが2023年に公開したレポート「Cost of a Data Breach Report 2023」（2023年データ侵害のコストに関する調査）は、2022年3月から2023年3月の間にデータ侵害を受けた553組織に所属する3475人に、インタビュー調査した結果をまとめた。同レポートによると、フィッシング攻撃の標的になった企業は平均476万ドルの損害を受けた。エンドユーザーをだまして機密データや個人情報を流出させて悪用するためにサイバー攻撃者が送信するフィッシングメールの数は、1日当たり数十億通に上るという見方もある。

メールに引っ掛かる人は「MFA」でも防げそうだが……

併せて読みたいお薦め記事

フィッシング攻撃に備える

• パスワード不要の認証「パスキー」は何がすごいのか？　Googleエンジニアが語る
• QRコードが悪用される“なるほど”だが笑えない理由　あの支払いでは要警戒

　エンドユーザーがフィッシング攻撃における弱点であることは明らかだ。インシデントの発生を防ぐために、企業はエンドユーザーに対してサイバーセキュリティ意識向上のためのトレーニングをしたり、フィッシング攻撃への防御策や脅威に関する情報を提供したりしている。

　実際に、企業のこうした努力は一部では成果を上げている。だがセキュリティベンダーProofpointの調査では、フィッシング攻撃に対する意識の低さが露呈した。同社は2022年、15カ国の労働者7500人と1500人のセキュリティ担当者に対して調査を実施し、結果を「2023 State of the Phish」にまとめた。それによると、信頼できる社名を名乗るメールを安全だと考える人は、調査対象者の44％に上った。

　企業が従業員研修でできることは限られているため、企業はフィッシング攻撃を防ぐために有効なセキュリティ対策を検討しなければならない。そうした対策の一つに多要素認証（MFA）があるが、従来のMFAでは防ぎ切れないフィッシング攻撃が登場し始めた。

従来のMFAでは力不足？

　MFAは、エンドユーザーがアクセス権を持っていることを証明するために2つ以上の要素を求める認証方法だ。その認証方法はフィッシング攻撃を防ぐ上で重要な役割を果たし、サイバー攻撃者によるログイン認証情報の悪用を困難にしているが、サイバー攻撃への特効薬ではない。

　実際、MFAには効果がほとんどないものもある。例えばサイバー攻撃者がエンドユーザーに認証情報の入力を要求する通知を大量にプッシュ送信する「プッシュボミング」（プッシュ疲労攻撃）のようなサイバー攻撃は、MFAでは防ぎにくい。攻撃者はプッシュボミングで正当な認証情報を入手し、標的企業のネットワークにアクセスするための足掛かりを得る。その後、エンドユーザーのデバイスに別の認証要素を入力するように送信して、完全なアクセス権を獲得する。

　MFAを出し抜くもう一つのフィッシング攻撃が、「SIMスワップ攻撃」（「SIMジャッキング」とも）だ。攻撃者は標的エンドユーザーの認証情報を集めた後、通信事業者に対して、標的エンドユーザーの携帯電話番号を攻撃者自身のSIMカードに移行するよう要求をする。それを受けた通信事業者は、攻撃者の携帯電話にショートメッセージ（SMS）や音声電話メッセージを送って本人確認を試みる。攻撃者は盗んだ認証情報を用いて手続きを完了させ、携帯電話とその内部の情報を乗っ取ることができるという仕組みだ。

---

　次回は、MFAを無効にするフィッシング攻撃に耐性のある認証方法を紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。