多要素認証バイパスを引き起こすテクノロジー Top-5

Top 5 Techniques Attackers Use to Bypass MFA

2021/08/06 DarkReading — 企業では、サーバー攻撃を防ぐために、多要素認証 (MFA: Multi Factor Authentication) が利用されている。しかし、MFA により 100% が保護されるという考えは、まさに誤りだ。MFA とパスワードを比較すると、個人情報漏えいのリスクを 99% 削減されると強調した統計があるが、それを回避する方法を攻撃者は知っている。では、どこに目を向ければ良いのだろうか。幸いなことに、すべてが悲観的な状況ではない。MFA がバイパスされたとしても、侵害になる前に攻撃を察知して阻止することは可能だ。

サイバー攻撃の阻止は、クラウド利用が加速し続ける中で、かつてないほど重要なことだ。アカウントの乗っ取りに関する最近のデータを見ると、最近のクラウドに関する調査では、回答者の約4分の3 (71%) が過去12ヶ月間に、平均で7回のアカウント乗っ取りに遭っているため、アカウントのアクティビティを可視化する必要がある。しかし、その仕組みを説明する前に、攻撃者が MFA や 2FA を回避するために使用する、テクニックの Top-5 を確認しておこう。

1. 多要素認証の無効化/弱体化
攻撃者が設定を変更して、組織が MFA ポリシーを実施する能力を、完全に無効化/弱体化させる場合に生じる。それにより、攻撃者は、追加の認証レイヤーを必要とせずに、彼らのホームから接続することが可能になる。

2. 直接的な MFA のバイパス
攻撃者が MFA を使用せずに、持続的なアクセスを可能にする技術を使用するケースを示す。そこには、2つの方法がある。ユーザーがダウンロードした悪意のアプリを使用して、攻撃者にコントロールされた状態で認証するケースと、SMS 送信されるメッセージ内の 2FA コードを傍受されるケースといった、MFA の弱点を利用する場合となる。

3. 承認された MFA の例外を利用する
パブリック・クラウド環境を利用している組織で、頻繁に見られるケースである。サービス・アカウントなどどの、MFA の要件を満たさずに運用されているアカウントを、攻撃者が特定するケースであり、そのアカウントを直接攻撃するときに生じる。また、POP/SMTP メールサーバーなどの、MFA をサポートしていないレガシー・アプリケーションを利用して攻撃するケースもある。

4. SAML 署名証明書の盗難
この手法は、以前から知られてる。最近では、Solarflare キャンペーンで使用されたことで有名になった。攻撃者により、証明書に署名するための秘密鍵を盗まれるケースと、ゴールデン・チケットと呼ばれる鍵が偽造されるケースがある。それにより、攻撃者は、SAMLResponse オブジェクトのアスペクト (ユーザ名、パーミッション・セット、有効期間など) を制御することが可能になる。この手法は、すべてが合法的に見えるため、検出が極めて困難であり、また、ユーザーが境界を越えて移動する際には、継続的な監視/検出が必要であることを際立たせる。

5. セッションの再利用
攻撃者は、既に認証済みのセッションを持つシステムを侵害し、再認証の必要性を排除する。ほとんどの MFA ツールは、ユーザー/アプリケーション/システムに再認証を要求するまでの期間を、デフォルトで 30 日間に設定している。したがって、攻撃者は持続的なアクセスの確立に必要とされる、十分な時間を確保できる。

バイパスの先にあるもの

パブリック・クラウドが提供する俊敏性と相互接続性は、一般的なワーカーに対して大きな恩恵をもたらすが、それは脅威アクターに対しても同様である。クラウド環境は、境界線の向こう側にある従来のアプリケーションよりも、はるかにアクセスしやすいものである。攻撃者は、偵察を行い、顧客と命名規則を特定することが容易だと指摘している。したがって、攻撃者は、正規のログインが行われた何千ものアカウントに対して、高度に自動化された攻撃を展開することが可能となる。

また、攻撃者は MFA を回避する方法も知っている。MFA は、各種の攻撃を遅延/阻止することが可能な優れた防御ツールだが、他の防御的なセキュリティ技術と同様に、バイパスされる可能性がある。MFA のような優れたセキュリティ衛生対策は、今後も活用されるべきだ。ただし、企業は、侵害を阻止することから、侵害が発生した後の被害を制限することへと、マインドセットを変えなければならない。組織化された熱心な攻撃者を排除するには、組織への侵入口が、あまりにも多すぎるのだ。

パスワードでは安全ではなく、MFA にしても安全ではなく、、、と観念したほうが良さそうですね。Facebook も、Twitter も、Gmail も、そして、この WordPress も MFA でプロテクトしていますが、バイパスの先にあるものとして、バックアップを取るべきなのでしょうね。この記事をポストしたら、バックアップで〜す。

%d bloggers like this: