Cyberattackers Double Down on Bypassing MFA
2023/03/01 DarkReading — 企業が従業員や顧客に対して、より強固なセキュリティを企業が求めるにつれて、攻撃者たちは多要素認証 (MFA) の回避を進化させてきた。今週に発表された、サイバー・セキュリティ企業 LastPass におけるデータ漏洩や、2月の初めに発表されたソーシャルメディア・サービス Reddit における侵害のように、この種の侵害発生は、着実に増加している。
SMS テキストで送信されるワンタイム・パスワード (OT: One-Time Passwords) を使用する、欠陥のある二要素認証 (2FA) 回避する方法は複数存在するが、プッシュ通知やハードウェア・トークンで保護されているシステムは、侵害が遥かに困難だと考えられている。しかし、攻撃者たちは、この種の追加されたセキュリティを回避するために、3つのテクニックに着眼している。それらは、MFAフラッディング/プロキシ攻撃/セッション・ハイジャックなどであり、それぞれがユーザー/ネットワーク/ブラウザにフォーカスするものだ。
ID セキュリティ・プロバイダーの Oort の CEO である Matt Caulfield は、「攻撃者が MFA を回避するために使うテクニックは、MFA フラッディング/SIM スワッピング/中間者攻撃というように、多彩なものがある」と述べている。
MFA 洪水と MFA 披露
攻撃者たちが最初に狙う標的は、ネットワークの向こうにいる人間になることが多い。Verizon の 2022 Data Breach Investigations Report (DBIR) によると、サイバー侵害全体の 82% において人間の要素が関わっており、Web アプリケーション侵害の 80% 以上が、盗まれた認証情報の悪用に起因しているという。
Matt Caulfield は、「盗んだ認証情報を用いる攻撃者が繰り返してログインを試み、プッシュ通知の洪水を起こす MFA フラッディングは、セキュリティ警告に対するユーザーの疲労を悪用するものだ。プッシュ通知は SMS と比べて一歩進んだものであるが、MFA フラッディングや MFA 疲労攻撃の影響を受けやすく、いずれかの通知に対して、被害者が [許可する] をクリックすることを期待して、通知を浴び続けるものだ」と述べている。
もう 1 つの戦術であるアカウント・リセット攻撃は、技術サポートを騙した攻撃者が、標的のアカウントを制御するというものだ。このアプローチにより、Grand Theft Auto フランチャイズのメーカーである、Take-Two Interactive の Rockstar Games の開発者 Slack チャネルへの侵害が成功した。
NCC Group の Practice Director for Infrastructure Security である Jordan LaRose は、「攻撃者は、ユーザーの認証情報を漏洩させた後に、ベンダーや IT 従業員を装い、ユーザーに認証コードを要求し、スマフォ上の MFA プロンプトを承認するよう要求する。この攻撃者は、ソーシャルエンジニアリング攻撃の一環として、すでに漏洩している情報を利用し、誤った安心感をユーザーに植え付ける」と述べている。
セッション・ハイジャック攻撃と pass-the-cookie 攻撃
オンラインア・カウントやクラウド・サービスにユーザーがログインすると、一般的には、ユーザーの認証情報を含むセッション・クッキーが設定され、ユーザーがログアウトしてセッションを終了するまで、その認証を有効な状態に保つ。一般的な戦術は、ブラウザ・キャッシュに存在する全てのクッキーを攻撃者が採取し、その後のセッション・ハイジャック攻撃や pass-the-cookie 攻撃の材料として悪用するというものだ。Emotet のようなマルウェアは、この機能を通常の機能として備えている。
NCC Group の LaRose は、「この攻撃の亜種として注目すべきなのは、クロス・サイト・スクリプティング (XSS) 攻撃や、悪意のブラウザ・エクステンションを使用して、ユーザーが MFA バリアを通過した後のセッションを制御するものだ。この手法の最終的な目的は、ユーザー・セッションを間接的に攻撃することであり、その結果として、ログイン・フローにおける強固なセキュリティ・コントロールと相互作用しないようにすることだ」と述べている。
プロキシ攻撃と AitM 攻撃
最後に説明するのは、クラウド・サービス/オンライン・サイトとユーザー・デバイスの間にあるインフラを侵害しようとする、攻撃者の試みである。侵害済の悪意のサーバを使用して、ユーザーとディスティネーション・サーバーからのリクエストを傍受するプロキシ攻撃、または、中間者攻撃 (AitM : Adversary-in-the-Middle) により、サイバー攻撃者は認証メカニズムをリアルタイムで採取できる。
「ノースカロライナ大学 Information Security Office の incident response team lead である Drew Trumbull は、「この手法におり、LastPass に情報漏洩が発生した可能性がる。この脅威アクターは、従業員が MFA で認証した後に、入力された従業員のマスター・パスワードを取得した」と、技術のレビューの中で述べている。
マトリクスをリセットする
最新の攻撃手法から身を守るために、企業はフィッシングに強い MFA を導入すべきである。MFA は、ハードウェア・キーのような物理的な存在と、バイオメトリックのような生体的な存在から構成される。Yubikey のような、一般的なハードウェア・キーソリューションにより、フィッシング耐性 MFA の導入が、より容易になったと NCC Group の LaRose は述べている。
Oort の Caulfield は、「しかし、ハードウェアキーの導入は、依然としてハードルが高く、完全にカバーすることは難しい。ハードウェア・ベースのセキュリティ・キーを全従業員に発送するための、また、紛失した場合の処理を管理するための、ロジスティックスだけでも悪夢のようだ。契約社員に対して、ノートパソコンとセキュリティ・キーを送るのは、さらに難しいことだ。つまり、デバイス管理にオーバーヘッドが生じる」と述べている。
彼は、「それにより、紛失や盗難にあったデバイスを悪用して、アカウントをリセットするという、別の侵入経路が生まれる。攻撃者は被害者になりすますことで、デバイスを紛失したと主張し、サインイン時に新しいファクターを登録することや、リセット猶予期間中に行動することが可能にある。MFA のリセットは大きな課題である。攻撃者は、弱点であるファクターを足がかりにして、登録やリセットのプロセスへと移行していくことが予想される」と付け加えている」と述べている。
そして現実に、労働者や消費者は、ハードウェア・トークンを使うよりも、セキュリティ質問への回答や、電子メール/SMS で受け取った Time_Base OTP (TOTP) を好むという傾向が、はるかに高くなっていり。たとえば、Oort の 2023 State of Identity Security レポートによると、ID プロバイダー Okta の調査では、ユーザーの 80% 近くがセカンド・ファクターとして電子メールを使用し、40% 近くがアプリケーションを通じて TOTP をプッシュしてもらっているが、トークンや Yubikey は 5% 程度しか使用されていないないとのことだ。Azure AD と Duo Security のユーザーも同様の傾向を示しており、セキュリティ質問と SMS パスコードが登録者の大半を占めていると、同レポートは指摘している。
MFA が絶対的なものではないことが、これまでの侵害のケースなどで明らかになってきました、とはいえ、2022年7月の MFA に関する調査では、採用が 46% で不採用が 54% というレベルとのことです。昨年も、Twillo などで問題が起こっていましたが、Cloudflare が採用している FIDO2 準拠のセキュリティ・キーでは、問題が生じなかったという事例があります。およしければ、以下の関連記事も、ご参照ください。
2022/11/12:Cookie 窃取と MFA バイパス
2022/11/02:MFA ガイダンス:Number Matching
2022/10/19:MFA の未来:フル・パスワードレスとは?
2022/09/20:MFA 疲れを狙う攻撃:フィッシングで根負
2022/09/11:Cookie セッション・ハイジャックの脅威
IoT OT Security News 
You must be logged in to post a comment.