CISA の MFA ガイダンス:Number Matching 実装でフィッシングに対抗

CISA Urges Organizations to Implement Phishing-Resistant MFA

2022/11/02 SecurityWeek — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、フィッシングに耐性のある Multi Factor Authentication (MFA) と MFA 対応アプリの番号照合を導入することで、組織におけるフィッシング脅威などからの保護に関するガイダンスを発表した。MFA とは、漏洩したログイン情報を悪用する攻撃者からの、ネットワークやシステムへの不正アクセスを困難にするセキュリティ・コントロールのことであり、ユーザーによる本人確認を実施するために、2つ以上の異なる認証手段の組み合わせを要求するものだ。


CISA によると、漏洩した認証情報による不正アクセスの脅威を軽減するために、MFAの導入は不可欠だとされる。したがって、すべての組織は、電子メール/ファイナンス/ファイル共有のアカウントなどの、ユーザーとサービスに対して MFA を導入すべきとなる。

CISA は、「ゼロトラストの原則を適用する一環として、フィッシングに強い MFA の実装を、すべての組織に対して強く求める。どのような形式の MFA であっても、MFA がないよりはましであり、組織の攻撃対象領域を減らすことができまる。ただし、フィッシング耐性 MFA は最高水準であり、この種の MFA への移行を最優先課題として、それぞれの組織は取り組むべきだ」と、Implementing Phishing-Resistant MFA (PDF) ガイドで述べている。

さまざまな種類のサイバー攻撃に対して、いくつかの形式の MFA 脆弱であると、CISA は指摘している。そこに含まれる攻撃パターンは、一般的なフィッシング (攻撃者が管理する Web サイトの認証アプリが6桁のコードを要求する) や、プッシュボミング (ユーザーが承認ボタンを押すまでプッシュ通知を浴びせる) 、SIM スワッピング (電話会社を騙した攻撃者の SIM カードに被害者の電話番号を転送する) などがある。

さらに、通信インフラに影響を及ぼす SS7 (Signaling System 7)プロトコルの脆弱性を悪用して、被害者に送信される SMS/Voice メッセージから認証コードを取得する攻撃者もいる。

このような攻撃からのリスクを軽減しようとする組織に対しては、フィッシングに強く他の攻撃からも影響を受けない、FIDO/WebAuthn または公開鍵基盤 (PKI) ベースの認証を導入することが推奨される。

CISA によると、OTP (one-time password)/番号照合付きモバイル・プッシュ通知/トークン型 OTP などのアプリ認証は、プッシュボミングには強いが、フィッシングには弱い。また、番号照合なしのモバイルアプリ・プッシュ通知はプッシュボミングとユーザーエラーに弱く、SMS/Voice MFA はフィッシング/SS7/SIM スワップ攻撃に弱いとされる。

CISA は、すべての組織がフィッシングに強い MFA を導入し、MFA に対応していないシステムを特定した上で、番号照合機能を持つ MFA アプリケーションなどの、追加の保護機能に対応したシステムへと移行することを推奨している。

CISA のガイド Implementing Number Matching in MFA Applications (PDF) では、番号照合を使用することで、MFA 疲れを防ぐことが可能だと説明されている。つまり、短時間に多くのプロンプトを受け取り、焦燥や混乱に陥るユーザーが、根負けしてログイン試行を受け入れる可能性が排除される。この手口は、Cisco のシステムが、5月に侵害されたときに用いられている。


CISA は、「ユーザーのパスワードを入手したサイバー脅威者であれば、モバイル・プッシュ通知ベースの MFA を使用し、ユーザーのデバイスに対して、短時間に何百ものプロンプトを送りつけることができる。つまり、それらを生成する ID プラットフォームに、盗んだパスワードを入力するだけで済むことが知れ渡っているのだ」と説明している。

しかし、番号照合のケースでは、それらの ID プラットフォームから提供されるアプリケーション番号を、それぞれのユーザーが入力した上で、認証要求を承認する必要が生じる。つまり、ユーザーによるログイン画面へのアクセスと、リクエストに対する承認が必要になるため、プロンプト・スパムも抑制できるはずだと、CISA は述べている。

10月19日の「MFA の未来:パスワードレス・ライクとフル・パスワードレスの違いは?」を訳してみて、勉強しなくてはいけないものが、また増えてしまったと感じましたが、今日の CISA の MFA ガイダンスは、そのための教材として最適という感じがします。どちらも簡潔なこうせいなので、時間を取って読んでみようと思っています。よろしければ、MFA で検索も、ご利用ください。

%d bloggers like this: