多要素認証の回避を試みる攻撃者、警戒すべきポイントは?

今回は「多要素認証の回避を試みる攻撃者、警戒すべきポイントは?」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 多要素認証の導入は、アカウントやネットワークを攻撃から守るために最も効果的な対策だと言われることが多い。

 これは、サイバー犯罪者がネットワークに侵入するために最もよく使っている手段の1つが、フィッシング攻撃によってパスワードを盗んだり、弱いパスワードを推測するなどして、パスワードを入手することだからだ。いずれにせよ、パスワードさえ本物であれば、システムは相手にアクセスを許してしまう。

 多要素認証を導入すれば、攻撃者が超えなければならない壁をもう1枚増やすことになる。ユーザーが、パスワードを入力することに加えて、ログインしようとしているのが本人であることを証明しなければならないからだ。この確認には、SMSメッセージや、認証アプリや、物理的なセキュリティキーが使われる。仮に攻撃者がパスワードを知っていても、確認メッセージや物理的なデバイスにアクセスできなければ、システムは攻撃者を受け入れず、攻撃者がその先に進むことはできない。

 多要素認証を使えば、アカウントを乗っ取ろうとする試みの大部分に対抗できるが、最近は多要素認証を使用したセキュリティを迂回(うかい)しようとするサイバー攻撃が増えている。Microsoftによれば、2021年、この手法を使ったたった1つの攻撃キャンペーンで1万以上の組織が標的になったという。

 多要素認証を迂回しようとするハッカーが採りうる選択肢の1つが、いわゆる「Adversary-in-the-Middle」(AiTM)と呼ばれる手口で、これはフィッシング攻撃と、被害者とログインしようとしているウェブサイトの間に設けたプロキシサーバーを組み合わせた攻撃手段だ。この手法を使えば、パスワードとセッションクッキーを盗むことができる。セッションクッキーはもう1つの認証手段なのだが、この攻撃キャンペーンでは、これを悪用して電子メールメッセージを盗もうとする。この攻撃を受けたユーザーは、普段通りに自分のアカウントにログインしたと思っている。

 Microsoftはこの攻撃について、「これは多要素認証の脆弱性ではない。AiTMフィッシングはセッションクッキーを盗むため、攻撃者はユーザーが使っているサインインの方法に関わらず、ユーザーになりすましてセッションの認証を得ることができる」と説明している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
人命を預かる医療現場のセキュリティ強化を目指す医療機器サイバーセキュリティ協議会
IT関連
2021-06-14 13:15
第2回:ゼロトラストセキュリティとSASE
IT関連
2022-09-22 10:22
YouTubeにインターネットテレビの広告でもっと買い物しやすくなる新機能追加、Z世代をターゲットに
ネットサービス
2021-05-06 12:20
SpaceX、月額約5万7000円の新プラン「Starlink Premium」を発表
IT関連
2022-02-04 16:37
「Windows Subsystem for Android」に言及–「Windows 11」の「Android」アプリ対応
IT関連
2021-06-25 16:11
Googleの最新AIモデルGeminiとStack Overflowのナレッジが統合、Google CloudとStack Overflowが戦略的提携
Google
2024-03-04 21:42
Notion、ウェブサイト作成「Notionサイト」で機能強化
IT関連
2024-06-28 11:01
NTTデータ、スマートシティー新ブランド「SocietyOS」を立ち上げ
IT関連
2021-01-29 18:18
富士通、新たなデータ基盤構築でデータ駆動型の経営戦略を強化
IT関連
2022-11-24 17:16
契約審査プラットフォーム「LegalForce」、自動レビュー画面に「実務対応アラート」機能
IT関連
2023-08-22 20:17
第一生命、刷新した経費精算システムに「テックタッチ」導入–システム操作時間の削減に寄与
IT関連
2023-07-15 22:49
VC投資にAIを活用する女性投資家3人のグループ「TLC Collective」
VC / エンジェル
2021-04-21 17:15
PKSHA、「RetNet」活用したLLMを開発–従来モデルの3倍の速度で回答生成
IT関連
2024-03-30 08:09
BMWがレトロフューチャーな電動スクーター「CE 04」をついに生産開始、しかし132万円で買う人はいるのか?
モビリティ
2021-07-09 05:49