ReliaQuestは9月28日(米国時間)、「MFA Bypass: Circumventing the Security Measure」において、脅威アクターが多要素認証(MFA: Multi-Factor Authentication)を回避する攻撃手法について伝えた。近年、多要素認証回避の試みが大幅に増加していることが確認され、今後この動きが拡大する可能性があるとして注意を促している。

MFA Bypass: Circumventing the Security Measure

ReliaQuestは脅威アクタが最もよく利用する多要素認証を回避する攻撃手法として次の3つを挙げている。

多要素認証の認証リクエストをユーザーのメール、電話、そのほかの登録されたデバイスに繰り返し送信し、ユーザーに認証するよう強要する。これは多要素認証疲労攻撃と呼ばれ、ユーザーが繰り返される拒否の操作に疲れて操作を誤り承認することを期待する攻撃手法で、過去に成功事例が複数存在するとされる

ユーザーが正規の手続きで承認した際に発行される認証トークンを、情報窃取マルウェアや中間者攻撃などで窃取する手法。初期アクセスにこの攻撃手法を用いる脅威アクターが増加している

ポリシーの構成ミスなどにより、一部のグループが多要素認証から除外されていることがある。ほかにもPOP3やIMAPなど多要素認証をまったくサポートしないサービスがある。脅威アクターはこれら多要素認証を必要としないサービスからの侵入を試みる可能性がある

ReliaQuestはこれらの回避手段に対抗するには多層防御が有効だとして、リスク軽減のために次の推奨事項を提示している。

ソーシャルエンジニアリング攻撃に対抗するための社員教育を行う

証明書ベースの認証ポリシーを設定して特定の信頼できるデバイスに証明書を割り当て、信頼されていないデバイスからの認証をブロックする

認証トークンの有効期限を短くする。適切な長さはユーザーごとに異なるため、セキュリティチームは適切な有効期限を見つける必要がある

むやみにログの記録を停止しない。可能であればセキュリティチームは有益なテレメトリを有効にし、セキュリティ情報およびイベント管理(SIEM: Security information and event management)やデータレイクなど、アラートを送信できる場所にテレメトリを送信する

組織に適切な多要素認証ソリューションを導入する。多要素認証にはさまざまな方式があるが、想定される攻撃に対して耐性の高いものを選択する

近年、脅威アクターはさまざまなツールや手法を用いて多要素認証の回避を試みている。しかしながら、多要素認証が脅威アクターにとって侵入の高いハードルであることにかわりはない。組織は多要素認証を適切に導入・運用し、同時に多層防御を構成してシステムの保護とリスク軽減に務めることが望まれている。