Microsoft: Enterprise MFA adoption still low
2022/02/07 HelpNetSecurity — コンシュマー・ユーザーの間では、二要素認証の使用率が急速に上昇している一方で、エンタープライズでは、重要なアカウントを保護するための多要素認証 (MFA) の使用率が、依然として低いという現実がある。
コンシュマーとエンタープライズの MFA 導入状況
Duo Labs の最新レポートである State of the Auth の、二要素認証を使用するコンシュマーを調査した結果によると、2017年には 28%、2019年には 53% であったのに対し、2021年には回答したユーザーの 78% が使用しているとのことだ。最近、MFA 保護を回避するフィッシング・キットの人気が高まっていることからも、攻撃者も二要素認証に注目し、適応していることが分かる。
その一方で、Microsoft が発表したレポート Cyber Signals によると、Microsoft Azure Active Directory (Azure AD) を利用している顧客のうち、MFA 保護を導入しているの 22% に過ぎないという。
ID に焦点を当てた攻撃の規模と、それに対応する組織の準備の間には、危険なミスマッチがあると同社は述べている。2021年1月〜12月の間だけでも、盗んだパスワードでブルートフォース攻撃を行い、企業の顧客アカウントを乗っ取ろうとする試みを、Microsoft Azure AD は 256億回以上も検出し、ブロックしたという。
攻撃者は認証情報の漏洩と MFA の欠如を好む
Microsoft は、「スピアフィッシング/ソーシャル・エンジニアリング/大規模なパスワード・スプレーは、国家に支援された脅威アクターが、パスワードの窃取や推測のために用いる基本的な戦術だ」と述べている。ユーザー認証情報の管理が不十分なケースや、MFA/パスワードレス認証が採用されていないケースだと、これらのグループは単純な戦術を繰り返して使用し続けることになると指摘している。
また、人間が操作するランサムウェアなどの攻撃の大半で、認証情報の漏洩が利用されている。Microsoft Threat Intelligence Center (MSTIC) の Principal Threat Intelligence Lead である Christopher Glyer は、「IDの弱点を見つけることは、多くの脅威アクター/サイバー犯罪者/国家レベル・アクターに共通する攻撃戦術だ」と述べている。
何年も前から Microsoft は、コンシュマーとエンタープライズに対して MFA の使用を推奨している。どのような形態のMFAであっても、正しく実装されていれば、仮に MFA による保護を回避する方法があるとしても、大半のユーザーは攻撃から逃れられると指摘している。
たとえば、最近の Ensono による調査では、38% の組織が Microsoft 365 で利用可能な MFA オプションを使用せず、また、43% の組織のみが条件付きアクセス・コントロールを導入していることが明らかになっている。
MFA については、2月3日の「多要素認証 (MFA) の第2ラウンド:脅威アクターはリバースプロキシ・キットで対抗」にあるように、攻撃側も次の手を考えているようですが、カギは1つよりも2つのほうが良いのは事実です。それもあり、さまざまな組織が MFA の導入を勧めていますが、企業アカウントでは、なかなか浸透しないようです。たしかに、面倒なことではありますが、なんらかの侵害が生ずると、もっと面倒になるということが、経営層や従業員に理解されないと進む話ではありません。日本で同じ調査を行ったら、どんな数字が出てくるのでしょう?
IoT OT Security News 