多要素認証の回避を試みる攻撃者、警戒すべきポイントは?

今回は「多要素認証の回避を試みる攻撃者、警戒すべきポイントは?」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 多要素認証の導入は、アカウントやネットワークを攻撃から守るために最も効果的な対策だと言われることが多い。

 これは、サイバー犯罪者がネットワークに侵入するために最もよく使っている手段の1つが、フィッシング攻撃によってパスワードを盗んだり、弱いパスワードを推測するなどして、パスワードを入手することだからだ。いずれにせよ、パスワードさえ本物であれば、システムは相手にアクセスを許してしまう。

 多要素認証を導入すれば、攻撃者が超えなければならない壁をもう1枚増やすことになる。ユーザーが、パスワードを入力することに加えて、ログインしようとしているのが本人であることを証明しなければならないからだ。この確認には、SMSメッセージや、認証アプリや、物理的なセキュリティキーが使われる。仮に攻撃者がパスワードを知っていても、確認メッセージや物理的なデバイスにアクセスできなければ、システムは攻撃者を受け入れず、攻撃者がその先に進むことはできない。

 多要素認証を使えば、アカウントを乗っ取ろうとする試みの大部分に対抗できるが、最近は多要素認証を使用したセキュリティを迂回(うかい)しようとするサイバー攻撃が増えている。Microsoftによれば、2021年、この手法を使ったたった1つの攻撃キャンペーンで1万以上の組織が標的になったという。

 多要素認証を迂回しようとするハッカーが採りうる選択肢の1つが、いわゆる「Adversary-in-the-Middle」(AiTM)と呼ばれる手口で、これはフィッシング攻撃と、被害者とログインしようとしているウェブサイトの間に設けたプロキシサーバーを組み合わせた攻撃手段だ。この手法を使えば、パスワードとセッションクッキーを盗むことができる。セッションクッキーはもう1つの認証手段なのだが、この攻撃キャンペーンでは、これを悪用して電子メールメッセージを盗もうとする。この攻撃を受けたユーザーは、普段通りに自分のアカウントにログインしたと思っている。

 Microsoftはこの攻撃について、「これは多要素認証の脆弱性ではない。AiTMフィッシングはセッションクッキーを盗むため、攻撃者はユーザーが使っているサインインの方法に関わらず、ユーザーになりすましてセッションの認証を得ることができる」と説明している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
第20回:2030年以降も生き残るIT部門・リーダーの姿とは? 先進テクノロジーとの正しい付き合い方–その2
IT関連
2022-10-22 05:52
AIでIT運用を強化–「AIOps」導入を検討するべき7つの理由
IT関連
2022-03-12 15:30
「C++」が「Java」を抜いて3位に–12月のTIOBEプログラミング言語ランキング
IT関連
2022-12-08 00:27
AWSが「IE 11」のサポート終了を告知–新しいブラウザーへの移行を促す
IT関連
2021-08-03 00:54
AIのリスクに対処–倫理的な導入を目指す取り組み
IT関連
2023-12-06 14:31
Wasabi Technologies Japan、バックアップとファイルサーバーのクラウド化に注力
IT関連
2024-09-14 08:17
ウォルマートが(誤って予定より早く)低価格FHDストリーミングスティックと4Kプレイヤーを公開
ハードウェア
2021-06-05 02:18
アップル、「Mac」のデスクトップ製品もDIY修理プログラムの対象に
IT関連
2022-12-22 09:46
トレンドマイクロ、DX担当や幹部向けのセキュリティ教育を開始
IT関連
2021-07-15 15:06
「2028年までにHDDの新規販売は終了するだろう」–ピュア・ストレージのCEOが基調講演
IT関連
2023-06-17 20:13
「ChatGPT」、「Windows」版アプリがようやく登場–まずは有料ユーザーから
IT関連
2024-10-22 15:15
困難なグリーンテック推進、成功の鍵は–ITリーダーに聞く
IT関連
2023-03-11 03:22
三菱重工、グループ共通の直接材調達・購買管理システムを刷新
IT関連
2024-10-23 21:06
Ziddyちゃんの「私を社食に連れてって」:ドイツSAP本社で7つの社食のうち2つを制覇編
IT関連
2023-10-28 12:14