目次
MFA疲労攻撃とは何か?
多要素認証(MFA)疲労攻撃は、MFA爆撃またはMFAスパムとしても知られ、攻撃者が被害者の電子メール、電話、またはその他の登録デバイスにMFA要求を繰り返し送信するソーシャルエンジニアリング型サイバー攻撃の一種です。この攻撃の目的は、被害者に通知による本人確認を強要し、攻撃者が被害者のアカウントやデバイスにアクセスしようとすることを認証させることです。
推薦図書:セキュリティ・ビッグデータ分析:過去、現在、未来
MFA疲労の仕組み
MFA 疲労攻撃はソーシャル・エンジニアリングの一形態である。MFA 疲労攻撃を実行するには、攻撃者はまず被害者のログイン認証情報にアクセスする必要があります。通常、フィッシング電子メール、認証情報詰め込み攻撃、またはダークウェブで認証情報を購入します。攻撃者が被害者のログイン認証情報を入手したら、被害者のアカウントまたはデバイスへのログインを試みます。アカウントで MFA が有効になっている場合、攻撃者は二要素認証コードの入力を求められます。
MFA プッシュ通知をトリガーするために、攻撃者は被害者の電子メールまたは電話番号を MFA の登録デバイスとして入力する。その後、攻撃者は被害者の登録デバイスに MFA リクエストを繰り返し送信します。通常、この頻度は、被害者がリクエストを適切に検証する能力を圧倒するように設計されています。
攻撃者は様々なソーシャル・エンジニアリングの手口を使い、被害者に要求を素早く承認するようプレッシャーを感じさせます。例えば、攻撃者はアカウントに不審な動きがあると主張したり、リクエストを承認しないとアカウントがロックされると主張したりします。
被害者が攻撃者の手口に引っかかり、MFAリクエストが正当なものであることを適切に検証せずに承認すると、攻撃者は被害者のアカウントやデバイスにアクセスできるようになります。これにより、攻撃者は機密情報を盗んだり、不正な取引を実行したり、被害者のデバイスにマルウェアをインストールしたりすることができる。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験では、MFA疲労攻撃からよりよく守るためのヒントを以下に挙げる:
ユーザが MFA スパムを認識できるように訓練する
MFA 疲労のリスクについてユーザを教育し、未承諾の MFA プロンプトを無視するよう教える。従業員は、自分自身でログインを開始しない限り、いかなるリクエストも承認しないことを知るべきである。
MFA の承認にナンバー・マッチングを使用する
単純な「承認/拒否」プッシュ通知の代わりに、ナンバー・マッチングを導入する。ユーザーは自分のデバイスに表示されたコードとログインリクエストを照合する必要があり、誤って承認してしまう可能性を減らすことができます。
MFA回数制限を有効にする
短期間に送信される MFA リクエストの回数に制限を設定する。これにより、攻撃者がユーザーに繰り返しプロンプトを送信することを防ぎ、異常なアクティビティを検出しやすくなります。
ジオロケーションベースのMFA制限の追加
ログイン試行が通常と異なる場所やリスクの高い場所から行われた場合、追加の確認を要求する。これにより、ユーザーの典型的なロケーションパターンと一致しない試行にフラグを立てることで、セキュリティが強化される。
SIEMを使用してMFAプロンプトの不正使用を監視
MFA ログを SIEM システムと統合して、短時間内に大量の MFA リクエストがあるなどの異常なパターンを検出します。これにより、潜在的なMFA疲労攻撃をリアルタイムで特定して緩和することができます。
MFA疲労攻撃から身を守る6つの方法
1.追加コンテキストを有効にする
追加コンテキストを有効にすることは、MFA 疲労攻撃から保護する一つの方法である。ユーザに認証要求に関するより多くの情報を提供することは、それが正当なものかどうかを判断するのに役立つ。以下は、MFA の追加コンテキストを有効にするいくつかの方法です:
- ジオロケーション:ユーザーのジオロケーションを使用することで、ユーザーの位置を確認し、攻撃者が別の場所から MFA 疲労攻撃を実行することをより困難にすることができます。これは、ユーザーの位置が頻繁に変わる可能性のあるモバイル・デバイスに特に有効です。
- デバイス・フィンガープリンティング:デバイス・フィンガープリンティングは、デバイスのブラウ ザ設定、画面解像度、オペレーティング・システムなどの固有の特徴に基づいて、ユーザのデバイ スを識別するのに役立つ技術である。これは、攻撃者が異なるデバイスを使用して MFA 疲労攻撃を実行するのを防ぐのに役立ちます。
- 行動分析:典型的なログイン時間、使用するデバイスのタイプ、ログインする場所など、ユーザーの行動パターンを分析することで、認証要求が正当かどうかを判断するのに役立ちます。攻撃者は通常、ユーザーの通常の行動パターンから逸脱するため、これはMFA疲労攻撃の検出に特に役立ちます。
- セッション履歴:セッション履歴とは、ユーザの過去のログイン試行と使用デバイスの記録のことである。ユーザーのセッション履歴を確認することで、疑わしい行動のパターンを特定し、MFA疲労攻撃を防ぐことができる。
2.リスク・ベース認証の採用
MFA にリスクベース認証を採用する方法をいくつか紹介しよう:
- リスクスコアリング:各認証要求に対して、ユーザの場所、デバイス、行動パターンなどのさまざまな要 因に基づいてリスク・スコアを割り当てる。リスク・スコアが高いほど、ユーザの身元を確認するために、より多くの認証要素が必要となる。
- 適応型認証:この方法は、リアルタイムのリスク分析を使用して、各ログイン試行に必要な 認証レベルを決定する。これには、ユーザの行動パターン、使用されているデバイス、およびログイン試行の場所を分析することが含まれる。
- ダイナミック・ポリシー管理:ダイナミック・ポリシー管理は、現在のリスク・レベル に基づいて認証ポリシーを調整する。例えば、リスク・レベルが高い場合、認証ポリシーは追加の認証要素を要求したり、ログイン試行を完全にブロックしたりする。
3.FIDO2認証の実装
FIDO2 はオープンな認証標準であり、パスワードを必要としない強力な認証を提供するように設計されている。FIDO2認証は、USBキーやNFCキーなどのハードウェア・セキュリティ・キーを使用して実装することができる。これらの鍵はユーザーの秘密鍵を保存し、公開鍵暗号を使用してユーザーの身元を確認します。
これには、各ユーザごとに公開鍵と秘密鍵を生成する必要がある。秘密鍵はユーザのデバイスまたはハードウェア・セキュリティ・キーに保存され、公開鍵は認証サーバに保存される。ユーザがログインすると、サーバはユーザのデバイスにチャレンジを送信し、そのチャレンジは秘密鍵で署名される。署名されたチャレンジはサーバに返送され、サーバは公開鍵を使用して署名を検証する。
4.確認方法としてプッシュ通知を無効にする
MFAプッシュ通知は、ユーザーがログイン試行を承認するために「はい」または「許可」をクリックするだけでよいため、使いやすいように設計されている。しかし、このシンプルさは、攻撃者が不正なMFAリクエストでユーザーを圧倒することを容易にする。
MFA疲労攻撃から保護するために、認証アプリの認証方法としてプッシュ通知を無効にすることを推奨します。代わりに、次のような代替の認証方法を使用してください:
- 番号照合:認証アプリが提供する固有のコードまたはPINと、ログインプロセス中に画面に表示されるコードを照合する。
- チャレンジとレスポンス:アプリはランダムなチャレンジや質問を提供し、ユーザーはそれに答えて本人確認を行う。
- 時間ベースのワンタイムパスワード:アプリは数秒ごとに変わるユニークなコードを生成し、ユーザーはそれを入力して本人確認を行う。
これらの代替認証方法を使用する利点は、ユーザが認証プロセスに積極的に参加する必要があり、偶然に承認されることがないことである。プッシュ通知を無効にし、これらの代替認証方法を使用することで、MFA疲れ攻撃を防ぎ、MFAの全体的なセキュリティを向上させることができる。
5.MFAに関するセキュリティ意識の向上
MFA疲労攻撃のリスクについてユーザを教育し、MFAリクエストを適切に検証する方法についてガイダンスを提供することは、攻撃が成功する可能性を減らすのに役立ちます。MFAに関するセキュリティ意識を向上させる方法をいくつか紹介しよう:
- ユーザ教育:MFA 疲労攻撃のリスクや MFA リクエストの真正性を確認する方法など、MFA に関する 教育とトレーニングをユーザに提供する。これには、フィッシングの模擬演習を含めることができ、攻撃者が使用する手口に対する認識を高め、それを認識し回避する方法をユーザーに教えるのに役立つ。
- 簡単な言葉:簡単な言葉で MFA のリスクと利点を説明し、MFA の設定と使用方法について明 確な指示を提供する。専門用語や複雑な表現は、ユーザを混乱させ、セキュリティ意識向上プログラムの効果を低下させる可能性があるため、使用しないようにする。
- 適切なパスワード衛生:強力でユニークなパスワードを使用し、複数のアカウントにまたがるパスワードの再利用を避けるよう、ユーザーに奨励する。これにより、攻撃者が盗んだパスワードを使ってMFA疲労攻撃を行うのを防ぐことができる。
- アクティビティの監視:複数のログイン試行失敗や通常と異なるログイン場所など、不審なアクティビティがないかユーザーアカウントを定期的に監視する。これにより、MFA疲労攻撃やその他のタイプのサイバー攻撃が大きな被害をもたらす前に検知することができます。
- 見直しと更新:登録デバイスや通知設定などのMFA設定を定期的に見直し、更新して、セキュリティと使いやすさが最適化されていることを確認する。これにより、MFA疲労攻撃やその他の種類のサイバー攻撃を防ぐことができる。
6.高度なSIEMプラットフォームでMFA疲労攻撃から守る
MFA 疲労攻撃から保護するには、先進的な SIEM(セキュリティ情報およびイベント管理)ソリューションとユーザーおよびエンティティの行動分析(UEBA)およびその他のセキュリティのベストプラクティスを組み合わせることによって達成できるプロアクティブなアプローチが必要です。高度なSIEMプラットフォームは、リアルタイムの監視、脅威の検出、インシデントレスポンス機能を提供し、組織がMFA疲れ攻撃を検出して緩和するのに役立ちます。
SIEMを使ってMFA疲労攻撃から守る方法をいくつか紹介しよう:
- リアルタイムの監視とアラートSIEMシステムは、ログイン試行の失敗の繰り返しや異常なアクセスパターンなど、疑わしい行動や異常な行動の兆候がないか環境を監視します。リアルタイムのアラートを設定することで、セキュリティチームは潜在的なMFA疲労攻撃を迅速に調査し、軽減することができます。
- ユーザーとエンティティの行動分析(UEBA):SIEMはUEBAを使用して、クレデンシャルとデバイスの動作の基本パターンを確立し、標準からの逸脱を特定する。これは、通常とは異なるログイン・パターンやアカウントの使用方法を特定することで、MFAの疲労を悪用しようとする試みを検出するのに役立ちます。
- 機械学習による脅威の検知:多くのSIEMは機械学習を利用して複雑な攻撃パターンを特定し、従来のルールベースのシステムでは見逃してしまうような脅威を検出する。この機能は、セキュリティチームがMFA疲労攻撃をより効果的に検知し、防止するのに役立ちます。
- インシデントレスポンスと自動化:ほとんどの先進的なSIEMプラットフォームには、オーケストレーションされたインシデントレスポンスと自動化機能が含まれていることが多く、セキュリティチームは、影響を受けたアカウントの分離、認証情報のリセット、またはその他の修復アクションのトリガーによって、潜在的なMFA疲労攻撃に迅速に対応することができます。
SIEM 機能を採用し、その他のセキュリティ・ベスト・プラクティスを実施することで、組織は MFA 疲労攻撃から効果的に保護し、安全で堅牢な認証環境を維持することができる。
Exabeamによるアイデンティティ攻撃からの保護
エクサビーム・セキュリティ・アナリティクスTMセキュリティ・アナリティクスは、クレデンシャル・ベースの攻撃に対抗するために組織の防御力をアップグレードするために、高性能なSIEMやデータレイクの上で実行される。セキュリティ・アナリティクスは、すべての行動をスマートタイムラインTMインシデントの完全な履歴を伝え、イベント・フロー(疑わしいものと正常なものの両方)を表示し、アクティビティを特定し、各イベントに関連するリスクをスコア化します。Exabeam Security Analyticsは、脅威検知機能を備えたUEBAと、検知と通知を組織のニーズに合わせてカスタマイズできる相関ルール・ビルダーを提供します。
UEBAを基盤としたセキュリティ・オーケストレーションと自動応答をお探しなら、Exabeamが最適です。Security Investigation TMは、コンテンツ、ワークフロー、および自動化を追加し、結果に焦点を当てた脅威の検出、調査、および対応(TDIR)機能を提供します。TDIRのベストプラクティスの標準化を支援するため、Security Investigationには、ランサムウェア、フィッシング、マルウェア、危険なインサイダー、悪意のあるインサイダーのための所定のワークフローと、より再現性の高いTDIRを成功させるために特定の脅威タイプやテクニックに焦点を当てた事前構築済みのコンテンツ(例:MITRE ATT&CK フレームワーク)が含まれています。
インサイダーの脅威に関するその他の説明
