「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う？：フィッシング攻撃に強いMFA【後編】

全ての多要素認証がフィッシング攻撃に有効なわけではない。エンドユーザーを詐欺メールから守るためには、「耐フィッシング」である多要素認証が有効だ。米国CISAが推奨する対策とは。

[Amy Larsen DeCarlo，TechTarget]

　巧みな偽メールを使ってエンドユーザーから機密情報を盗み出そうとするフィッシング攻撃が、ますます盛んになっている。エンドユーザーの認証を強固にする手段として多要素認証（MFA）があるが、フィッシング攻撃に対してMFAの効果がほとんど見込めないこともある。そうした攻撃を受けた場合、攻撃者にエンドユーザーのデバイスの完全なアクセス権を与えかねない。この事態を防ぐためには、MFAを無効にする攻撃に耐性のある「耐フィッシングMFA」（Phishing-Resistant MFA）が有効だ。以下でその詳細を解説する。

「フィッシング対策」を徹底できるMFAの違い

併せて読みたいお薦め記事

連載：フィッシング攻撃に強いMFA

• 前編：詐欺メールには「MFA」が有効でも“新手のフィッシング攻撃”には使えない？

フィッシング攻撃に備える

• パスワード不要の認証「パスキー」は何がすごいのか？　Googleエンジニアが語る
• QRコードが悪用される“なるほど”だが笑えない理由　あの支払いでは要警戒

　米国のサイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、耐フィッシングMFAをフィッシング対策の「ゴールドスタンダード」と呼ぶ。CISAは企業のITセキュリティ担当者に対して、耐フィッシングMFAを導入し、フィッシング攻撃を防ぐことを促すためのガイドラインを発表した。以下の2つの技術は、CISAがガイドラインで取り上げているものだ。

技術1．WebAuthn

　Webでの認証をセキュアにするための認証標準である「WebAuthn」は、認証関連の業界団体FIDO Allianceが推進するパスワードレス認証標準群「FIDO2」の構成要素の一部だ。WebAuthnを使うと、エンドユーザーがWebページにアクセスする際、物理トークンやデバイスが搭載する生体認証用センサーを使って認証できるようになる。物理トークンとデバイスは、USBやNFC（近距離無線通信）を通して接続可能だ。

技術2．PKIベースのMFA

　PKI（公開鍵暗号基盤）ベースのMFA（PKI-based MFA）は、企業のPKIシステムと連動して機能するMFAで、スマートカード（ICチップを埋め込んだカード）をはじめ複数の異なる物理規格を使用できる。PKIはフィッシング攻撃などの脅威への耐性を持つ強力なセキュリティである一方、高度なID管理も必要だ。PKIベースのMFAでは一般的に、スマートカードのセキュリティチップがエンドユーザーの認証情報を保持している。エンドユーザーはスマートカードと正しいパスワードあるいはPINコードを使ってシステムにログインすることになる。

導入時の注意点

　耐フィッシングMFAの導入は、エンドユーザーを信頼せず状況に応じて認証を求める「ゼロトラストセキュリティ」を実現するための重要な第一歩となる。ただし耐フィッシングMFAの導入には、以下に示す課題があることに注意したい。

• レガシーシステムでは、耐フィッシングMFAが動作しない可能性がある
• エンドユーザーに研修を受けてもらう必要がある
• システムにアクセスする際に新たな認証を求められることを面倒に感じたり、耐フィッシングMFAを導入することで使い勝手が悪くなるのではないかと心配したりするエンドユーザーがいる可能性がある

　こうした課題があるとはいえ、被害や損害額が顕著になっているフィッシング攻撃を食い止めるために、企業は耐フィッシングMFAの導入を検討すべきだ。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。