MFA Fatigue: Hackers’ new favorite tactic in high-profile breaches
2022/09/20 BleepingComputer — 企業の認証情報へのアクセスを試みるハッカーたちは、大規模なネットワークに侵入するために、ソーシャル・エンジニアリング攻撃を多用し始めている。 多要素認証の普及に伴い、それらのを攻撃する際の構成要素の1つとして、MFA Fatigue (MFA 疲れ) と呼ばれる手法が一般的になってきた。企業ネットワークに侵入する際にハッカーたちは、盗み出した従業員のログイン認証情報を使って VPN や内部ネットワークに、アクセスするのが一般である。そしてハッカーたちにとっては、フィッシングやマルウェアで流出させた認証情報があり、また、ダークウェブ・マーケット・プレイスで購入した認証情報もありという具合に、さまざまな方法で企業の機密情報の入手が可能であり、それは難しいことではないというのが現実である。
このため、企業は多要素認証を採用し、最初に追加の認証情報を入力しないユーザーは、ネットワークにログインできないようにする形態が増えている。この追加情報は、ワンタイム・パスコードや、ログイン試行の検証を求めるプロンプト、ハードウェア・セキュリティ・キーなどを介するものとなる。
脅威アクターたちは、多要素認証を回避するために、多くの方法を用いることが可能だが、その大半は、マルウェアや evilginx2 などの中間者フィッシング攻撃フレームワークを介して、クッキーを盗み出すことに集中している。
しかし、MFA 疲れ (MFA プッシュスパム) と呼ばれるソーシャル・エンジニアリング技術は、マルウェアやフィッシングといったインフラを必要とせずに、攻撃にも成功することが分かっているため、脅威アクターたちの間で人気が高まっている。
MFA 疲れとは?
ユーザー組織の多要素認証が、プッシュ通知を使用するように設定されている場合には、誰かが認証情報を使用してログインしようとすると、従業員のモバイルデバイスにプロンプトが表示される。この MFA プッシュ通知は、ユーザーにログイン試行の確認を求め、ログインが試行されている場所を、以下のように表示する。
Source: Microsoft
MFA 疲れ攻撃とは、脅威アクターが盗み出した認証情報を使って、何度もログインを試みるスクリプトを実行し、アカウントの所有者のモバイルデバイスに対して、延々と MFA プッシュ要求が送信される状態にするというものだ。
その目的は、これを朝から晩まで続けることで、ターゲットのサイバー・セキュリティの姿勢を崩壊させ、それらの MFA プロンプトに対して疲労の感覚を植え付けることである。
MFA 疲れ攻撃 (MFA スパム) のデモは、サイバー・セキュリティ支援企業である Reformed IT が作成した、この YouTube ビデオで参照できる。
多くの場合において、脅威アクターは MFA 通知を繰り返して送信し、IT サポートのふりをして電子メール/メッセージング/電話などでターゲットに連絡し、MFA プロンプトを受け入れるようにユーザーを説得する。
最終的に、ターゲットは根負けして [承認] ボタンをクリックするか、単に MFA リクエストを受け入れて、携帯電話で受信していた通知の、エンドレス・ストリームを終了させる。
この種のソーシャルエンジニア技術は、Lapsus$ や Yanluowang といった脅威アクターが、Microsoft/Cisco/Uber といった、大規模かつ著名な組織を侵害する際に持ちており、大きな成功を収めていることが証明された。
したがって、もしあなたが MFA Fatigue/Spam 攻撃のターゲットになった従業員であり、MFA プッシュ通知を無限に受け取ったとしても、パニックにならず、MFA リクエストを承認せず、自分の組織を名乗る第三者と会話してはならない。
その代わり、会社の IT 管理者/IT 部門/上司に連絡し、アカウントが侵害され、攻撃を受けていると捉えていることを説明してほしい。また、可能であればアカウントのパスワードを変更し、ハッカーが引き続きログインして MFA プッシュ通知を生成するのを防ぐ必要がある。
パスワードが変更されると、脅威アクターは MFA Spam を発行できなくなり、侵害が調査される間、あなたと管理者に余裕ができる。
セキュリティ・プロフェッショナルからのアドバイス
私たちは、多要素認証やアイデンティティ管理の専門家ではないが、専門家たちは BleepingComputer や Twitter で快く意見を聞かせてくれた。
セキュリティの専門家たちは、MFA のプッシュ通知を無効にして、それが不可能な場合は、セキュリティ強化のために番号照合を有効にすることを推奨している。
Microsoft の MFA Number Matching は、Duo では Verified Push とも呼ばれ、認証情報を使ってログインしようとするユーザーに対して、一連の番号を表示する機能である。その後に、これらの番号をアカウント所有者のモバイルデバイスの認証アプリに入力し、アカウントにログインしていることを確認する必要がある。
Source: Microsoft
これらの番号は、アカウントにログインしている本人しか見ることができないため、認証アプリに入力させようとする試みは、そのログイン試行が他国からのものであれば、直ちに疑わしいと見なされるはずである。
Microsoft は、この機能が一般的に利用可能になった直後に、すべての Azure Active Directory テナントで、この機能をデフォルトで有効にする予定だという。また、ユーザーごとの MFA 認証リクエスト数を制限し (Microsoft/Duo/Okta)、その閾値を超えた場合には、アカウント・ロックもしくは、ドメイン管理者へのアラートをという案もある。
企業がログインを保護するために、FIDO ハードウェア・セキュリティ・キーへの移行することを提案する人もいるが、他の研究者やセキュリティ専門家たちは、採用を求めるにはまだ時期尚早であり、一部のオンラインサービスとの互換性がない可能性があることを懸念している。もし、あなたの組織が、ログインにセキュリティ・キーだけを要求する複雑さを克服できるならば、ログインのセキュリティを高めるための、一つの方向性となるかもしれない。
BleepingComputer は、Microsoft/Okta/Duo/CyberArk から、一連の攻撃を軽減するための推奨事項を受け取っている。
文中にもあるように、Uber のインシデントなどで [MFA Fatigue] という言葉を目にするようになりました。[MFA 疲れ] もしくは [MFA 疲労] という意味なのでしょうが、この記事では [MFA 疲れ] と訳しています。ソーシャル・エンジニアリングを用いて、偽の承認画面を何度も表示して、ターゲットに追加の認証情報を入力させるという、攻撃のパターンのようです。Microsoft/Cisco/Uber などの攻略に成功しているのですから要注意です。なお、原文には Microsoft/Okta/Duo/CyberArk からの注意事項も掲載されていますので、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.