「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う?フィッシング攻撃に強いMFA【後編】

全ての多要素認証がフィッシング攻撃に有効なわけではない。エンドユーザーを詐欺メールから守るためには、「耐フィッシング」である多要素認証が有効だ。米国CISAが推奨する対策とは。

2024年02月01日 10時00分 公開
[Amy Larsen DeCarloTechTarget]

関連キーワード

セキュリティ | 認証 | フィッシング


 巧みな偽メールを使ってエンドユーザーから機密情報を盗み出そうとするフィッシング攻撃が、ますます盛んになっている。エンドユーザーの認証を強固にする手段として多要素認証(MFA)があるが、フィッシング攻撃に対してMFAの効果がほとんど見込めないこともある。そうした攻撃を受けた場合、攻撃者にエンドユーザーのデバイスの完全なアクセス権を与えかねない。この事態を防ぐためには、MFAを無効にする攻撃に耐性のある「耐フィッシングMFA」(Phishing-Resistant MFA)が有効だ。以下でその詳細を解説する。

「フィッシング対策」を徹底できるMFAの違い

 米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、耐フィッシングMFAをフィッシング対策の「ゴールドスタンダード」と呼ぶ。CISAは企業のITセキュリティ担当者に対して、耐フィッシングMFAを導入し、フィッシング攻撃を防ぐことを促すためのガイドラインを発表した。以下の2つの技術は、CISAがガイドラインで取り上げているものだ。

技術1.WebAuthn

 Webでの認証をセキュアにするための認証標準である「WebAuthn」は、認証関連の業界団体FIDO Allianceが推進するパスワードレス認証標準群「FIDO2」の構成要素の一部だ。WebAuthnを使うと、エンドユーザーがWebページにアクセスする際、物理トークンやデバイスが搭載する生体認証用センサーを使って認証できるようになる。物理トークンとデバイスは、USBやNFC(近距離無線通信)を通して接続可能だ。

技術2.PKIベースのMFA

 PKI(公開鍵暗号基盤)ベースのMFA(PKI-based MFA)は、企業のPKIシステムと連動して機能するMFAで、スマートカード(ICチップを埋め込んだカード)をはじめ複数の異なる物理規格を使用できる。PKIはフィッシング攻撃などの脅威への耐性を持つ強力なセキュリティである一方、高度なID管理も必要だ。PKIベースのMFAでは一般的に、スマートカードのセキュリティチップがエンドユーザーの認証情報を保持している。エンドユーザーはスマートカードと正しいパスワードあるいはPINコードを使ってシステムにログインすることになる。

導入時の注意点

 耐フィッシングMFAの導入は、エンドユーザーを信頼せず状況に応じて認証を求める「ゼロトラストセキュリティ」を実現するための重要な第一歩となる。ただし耐フィッシングMFAの導入には、以下に示す課題があることに注意したい。

  • レガシーシステムでは、耐フィッシングMFAが動作しない可能性がある
  • エンドユーザーに研修を受けてもらう必要がある
  • システムにアクセスする際に新たな認証を求められることを面倒に感じたり、耐フィッシングMFAを導入することで使い勝手が悪くなるのではないかと心配したりするエンドユーザーがいる可能性がある

 こうした課題があるとはいえ、被害や損害額が顕著になっているフィッシング攻撃を食い止めるために、企業は耐フィッシングMFAの導入を検討すべきだ。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news154.jpg

D2CとD2C Rが「docomo connecting path(コネパス)」計測タグを無料配布
D2CとD2C Rは、Cookieレス環境でもリターゲティング広告やオーディエンス分析が可能な新...

news074.jpg

ニップンと刀が協業 マーケティングノウハウで成熟市場を拡大へ
ニップンと刀は「ニップン × 刀 協業発表会」を開催し、協業を通じた両社の取り組みとそ...

news197.png

広告運用自動化ツール「Shirofune」がMicrosoft広告の改善機能を実装
Shirofuneは広告運用自動化ツール「Shirofune」に改善カード機能を追加。これにより、キ...