メールセキュリティプラットフォームなどを開発するAbnormal Securityは8月6日(米国時間)、公式ブログ「How Attackers Bypass MFA and Conditional Access to Compromise Email Accounts - Abnormal Security」において、メールアカウントの乗っ取りを狙う攻撃者が多要素認証(MFA: Multi Factor Authentication)や条件付きアクセスを回避するために用いる手法を紹介した。

多要素認証をサポートしていないレガシーアプリケーションを使用することで、多要素認証を行うことなくアカウントの乗っ取りに成功するケースが多いという。

How Attackers Bypass MFA and Conditional Access to Compromise Email Accounts - Abnormal Security

多要素認証はアカウントを保護する上で極めて有効な技術であり、現在ではほとんどの企業が導入している。しかし、古いモバイル向けメールクライアントのように多要素認証をサポートしていないアプリケーションも多く、その場合は多要素認証を適用することはできない。

そこで、レガシーアプリケーションからのアクセスの制限を組み合わせるという対策も一般的である。例えば、MicrosoftのOffice 365では、アカウントへの条件付きアクセスポリシーを設定できる機能が提供されており、これによってレガシーアプリケーションのアクセスを制限できる。

しかしながら、Abnormal Securityの研究者は、これら多要素認証と条件付きアクセスを使用しているにもかかわらず、メールアカウントの侵害される事例が増えていることを発見したという。

一般的な攻撃のパターンは、多要素認証によってアクセスがブロックされた後で、攻撃者はすぐにレガシーアプリケーションの使用に切り替える。さらに、使用しているアプリケーションの情報を隠すことによって条件付きアクセスポリシーの回避を試みる手法が観測されているという。

現実問題として、レガシーアプリケーションはまだ多くの企業で利用されており、このアクセスを完全ブロックするのは企業の生産性を大きく損ねる可能性がある。そこで一般的にはアプリケーションの種類やバージョンなどの情報を利用してアクセス制限のポリシーを設定するが、それに対して攻撃者はアプリケーション情報を偽装もしくは隠ぺいすることでアクセスを試みるわけだ。

これに対する対策として、Abnormal Securityの研究者は、社内のレガシーアプリケーションを使用していないユーザを特定し、そのユーザに対してのみ条件付きアクセスポリシーでレガシーアプリケーションからのアクセスを完全にブロックすることを提唱している。もちろん、この方法ではレガシーアプリケーションを使用するユーザのアカウントは依然として危険に晒されたままになる。アカウントの乗っ取りからユーザを完全に保護するには、通常のユーザの行動を理解してモデル化し、攻撃を受けた場合にそれを特定できるようにする必要があるとのことだ。