詐欺メールには「MFA」が有効でも“新手のフィッシング攻撃”には使えない?フィッシング攻撃に強いMFA【前編】

エンドユーザーから偽のメールを通じて機密情報を引き出すフィッシング攻撃は、企業が対処すべきサイバー攻撃だ。多要素認証(MFA)でも防げない新手のフィッシング攻撃とは。

2024年01月25日 10時00分 公開
[Amy Larsen DeCarloTechTarget]

関連キーワード

セキュリティ | 認証 | フィッシング


 フィッシング攻撃の勢いが増している。IBMが2023年に公開したレポート「Cost of a Data Breach Report 2023」(2023年データ侵害のコストに関する調査)は、2022年3月から2023年3月の間にデータ侵害を受けた553組織に所属する3475人に、インタビュー調査した結果をまとめた。同レポートによると、フィッシング攻撃の標的になった企業は平均476万ドルの損害を受けた。エンドユーザーをだまして機密データや個人情報を流出させて悪用するためにサイバー攻撃者が送信するフィッシングメールの数は、1日当たり数十億通に上るという見方もある。

メールに引っ掛かる人は「MFA」でも防げそうだが……

会員登録(無料)が必要です

 エンドユーザーがフィッシング攻撃における弱点であることは明らかだ。インシデントの発生を防ぐために、企業はエンドユーザーに対してサイバーセキュリティ意識向上のためのトレーニングをしたり、フィッシング攻撃への防御策や脅威に関する情報を提供したりしている。

 実際に、企業のこうした努力は一部では成果を上げている。だがセキュリティベンダーProofpointの調査では、フィッシング攻撃に対する意識の低さが露呈した。同社は2022年、15カ国の労働者7500人と1500人のセキュリティ担当者に対して調査を実施し、結果を「2023 State of the Phish」にまとめた。それによると、信頼できる社名を名乗るメールを安全だと考える人は、調査対象者の44%に上った。

 企業が従業員研修でできることは限られているため、企業はフィッシング攻撃を防ぐために有効なセキュリティ対策を検討しなければならない。そうした対策の一つに多要素認証(MFA)があるが、従来のMFAでは防ぎ切れないフィッシング攻撃が登場し始めた。

従来のMFAでは力不足?

 MFAは、エンドユーザーがアクセス権を持っていることを証明するために2つ以上の要素を求める認証方法だ。その認証方法はフィッシング攻撃を防ぐ上で重要な役割を果たし、サイバー攻撃者によるログイン認証情報の悪用を困難にしているが、サイバー攻撃への特効薬ではない。

 実際、MFAには効果がほとんどないものもある。例えばサイバー攻撃者がエンドユーザーに認証情報の入力を要求する通知を大量にプッシュ送信する「プッシュボミング」(プッシュ疲労攻撃)のようなサイバー攻撃は、MFAでは防ぎにくい。攻撃者はプッシュボミングで正当な認証情報を入手し、標的企業のネットワークにアクセスするための足掛かりを得る。その後、エンドユーザーのデバイスに別の認証要素を入力するように送信して、完全なアクセス権を獲得する。

 MFAを出し抜くもう一つのフィッシング攻撃が、「SIMスワップ攻撃」(「SIMジャッキング」とも)だ。攻撃者は標的エンドユーザーの認証情報を集めた後、通信事業者に対して、標的エンドユーザーの携帯電話番号を攻撃者自身のSIMカードに移行するよう要求をする。それを受けた通信事業者は、攻撃者の携帯電話にショートメッセージ(SMS)や音声電話メッセージを送って本人確認を試みる。攻撃者は盗んだ認証情報を用いて手続きを完了させ、携帯電話とその内部の情報を乗っ取ることができるという仕組みだ。


 次回は、MFAを無効にするフィッシング攻撃に耐性のある認証方法を紹介する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

市場調査・トレンド ラピッドセブン・ジャパン株式会社

「検知と対応に関する調査」から見えてきた、各組織のサイバー脅威への取り組み

脅威の検知と迅速な対応は、セキュリティ戦略の中核をなす重要な機能だ。これを実現するために、多くの組織が自動化ツールやAIなどの技術を採用しているが、成果を挙げている組織もあれば、そうでない組織もあり、明暗が分かれている。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

セキュリティ製品の乱立を解消し、ベンダーを統合すべき理由とは?

近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。

製品資料 フォーティネットジャパン合同会社

費用対効果の高いセキュリティ製品をどう見極める? 5つの組織の例に学ぶ

データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。

製品レビュー サイオステクノロジー株式会社

マンガで分かる:クラウドシステムの障害対策でユーザーが考慮すべきポイント

ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。

製品資料 Absolute Software株式会社

サイバーレジリエンスがなぜ今重要? 調査で知るエンドポイントの3大リスク

エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

ITmedia マーケティング新着記事

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。