マルチファクタ認証を突破するハッカーの巧妙な手口4選公開

マルチファクタ認証（MFA）はアクセスセキュリティにおいて重要な役割を果たしていますが、完璧ではありません。ハッカーは社会工学を駆使してMFAを回避する方法を見つけ出しています。以下は、そのような方法のうち代表的な4つです。

1. 敵対者イン・ザ・ミドル（AITM）攻撃: ユーザーを騙して偽のネットワーク、アプリケーション、またはウェブサイトにログインさせ、パスワードやMFAプロンプトを傍受します。例えば、偽のMicrosoft認証ページを作成し、MFAコードを入力させることでアクセスを許可させる手法があります。

2. MFAプロンプト爆撃: パスワードが侵害された後、攻撃者は正当なユーザーのデバイスにMFAプロンプトを送信し、ユーザーがそれを誤って承認するか、通知による煩わしさから承認してしまうことを狙います。Uberの事例では、攻撃者がSMSフィッシングを通じてログイン情報を取得し、MFAコードの承認を促しました。

3. サービスデスク攻撃: 攻撃者はサービスデスクを騙してパスワードを忘れたふりをし、電話を通じてMFAを回避します。MGMリゾーツの攻撃では、ハッカーグループがサービスデスクに連絡し、パスワードリセットを促してランサムウェア攻撃の足がかりを作りました。

4. SIMスワッピング: 攻撃者はサービスプロバイダーを騙してターゲットのサービスを自分たちの管理下にあるSIMカードに移行させ、MFAプロンプトを傍受します。LAPSUS$グループは、SIMスワッピング攻撃を含む社会工学キャンペーンを展開し、ターゲット組織に初期アクセスを確立しました。

MFAだけに依存することはできず、パスワードセキュリティも重要です。強力なパスワードポリシーを実施し、侵害されたパスワードを継続的にスキャンすることで、MFAが意図した通りの追加のセキュリティ層として機能することを確保する必要があります。

【ニュース解説】

マルチファクタ認証（MFA）は、アクセスセキュリティを強化するために広く推奨されている手法です。これは、単にパスワードを使用するよりも、ユーザーの身元を確認するために複数の認証要素を要求することにより、セキュリティを向上させます。しかし、MFAがセキュリティの万能薬ではないことが明らかになっています。ハッカーは、社会工学と呼ばれる技術を駆使して、MFAの保護を回避する方法を見つけ出しています。

社会工学は、人間の心理を利用した攻撃手法であり、ユーザーを騙して機密情報を渡させることを目的としています。この記事では、MFAを回避するためにハッカーが使用する4つの主要な社会工学の手法について説明しています。

1. **敵対者イン・ザ・ミドル（AITM）攻撃**では、ユーザーが正規のサイトと信じ込んでいる偽のサイトにログイン情報を入力させ、その情報を傍受します。この攻撃は、偽の認証ページを作成し、MFAのプロンプトを模倣することで、ユーザーからMFAコードを騙し取ることが可能です。

2. **MFAプロンプト爆撃**は、攻撃者がユーザーのデバイスに繰り返しMFAプロンプトを送信し、ユーザーが誤って承認するか、煩わしさから承認してしまうことを狙います。この手法は、ユーザーの疲労や混乱を利用します。

3. **サービスデスク攻撃**では、攻撃者がサービスデスクを騙してパスワードをリセットさせ、MFAを回避することを目指します。この攻撃は、サービスデスクの従業員が適切な確認手順を踏まない場合に成功しやすくなります。

4. **SIMスワッピング**は、攻撃者が携帯電話のサービスプロバイダーを騙して、ターゲットの電話番号を攻撃者のSIMカードに移行させる手法です。これにより、攻撃者はMFAプロンプトを傍受し、アカウントへの不正アクセスを試みます。

これらの攻撃手法は、MFAが完全な保護を提供するわけではないことを示しています。したがって、強力なパスワードポリシーの実施や、侵害されたパスワードの継続的な監視など、追加のセキュリティ対策を講じることが重要です。これにより、MFAが意図した通りの追加のセキュリティ層として機能し、組織のセキュリティを全体的に強化することができます。

このような攻撃手法の存在は、セキュリティ対策を常に更新し、従業員に対する教育を強化することの重要性を強調しています。また、技術的な対策だけでなく、人間の心理を利用した攻撃に対しても警戒する必要があることを示しています。

from 4 Ways Hackers use Social Engineering to Bypass MFA.