Microsoft enforces number matching to fight MFA fatigue attacks
2023/05/08 BleepingComputer — Microsoft は、MFA 疲労攻撃を防ぐため、Microsoft Authenticator のプッシュ通知において番号照合を実施することにした。この種の、プッシュボミング/MFA プッシュスパム攻撃を実施する脅威アクターたちは、盗み出した認証情報を悪用し、モバイル・プッシュ通知が承認されるまでターゲットに送り続け、企業アカウントにログインしようとする。多くのケースにおいて、標的にされた被害者は、無限に続く警告を止めるために、あるいは、誤って悪意の MFA プッシュ要求に応じ、アカウントへの攻撃者のログインを許してしまう。
この種のソーシャル・エンジニアリング攻撃は、すでに Lapsus$ や Yanluowang などの脅威アクターが、成功を収めていることが証明されており、Microsoft/Cisco/Uber といった著名な組織が侵入を許している。しかし、すでに発表されているように、Microsoft テナント全体での MFA 疲労攻撃をブロックするために、Microsoft Authenticator MFA アラートの番号照合が実施される。
Microsoft は、「この番号照合は、従来からの Microsoft Authenticator における、第二要素通知に対する重要なセキュリティ・アップグレードだ。私たちは、2023年5月8日から、Microsoft Authenticator のプッシュ通知のユーザーに対して、管理コントロールを削除し、テナント全体でナンバーマッチ・エクスペリエンスを実施する。2023年5月8日以降に、それに関連するサービスのデプロイが開始され、ユーザーは承認リクエストで番号一致を確認するようになる。このサービスのデプロイに際して、ナンバーマッチが表示されるものもあれば、表示されないものもある」と述べている。
Microsoft による、管理者コントロール削除の前に、手動で番号照合を有効にするときには、Azure ポータルの Security > Authentication methods > Microsoft Authenticator にアクセスする必要がある。
そこから、次のステップを実行する:
Enable and Target タブで Yes をクリックして、全員に対してポリシーを有効にできる、ユーザーとグループを選択する場合には、それらのユーザー/グループの認証モードを Any/Push に設定する。
Configure タブの Require number matching for push notifications で、Status を Enabled に変更し、番号照合に含める人または除外する人を選択して、Save をクリックする。
グラフ API を介して、すべてのユーザーまたは単一のグループに対して、番号照合を有効化することも可能である (詳細情報はココ)。
Microsoft は、「対象となるユーザーが、別のデフォルト認証方法を使用している場合には、デフォルト・サインインに変更は生じない。デフォルトが Microsoft Authenticator の場合には、2023年5月8日以降において、番号照合承認が開始される」と述べている。
MFA 疲労攻撃に対する防御ラインを追加する場合には、ユーザーごとの MFA 認証リクエスト数を制限することで、その閾値を超えたときのアカウント・ロックもしくは、セキュリティチーム/ドメイン管理者への警告が可能になる。
この記事の背景として、2022/09/20 の「MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落」をオススメします。IP/PW のセットがクラックされてしまうと、さまざまな攻撃にさらされますが、その1つとして MFA 疲労攻撃があるようです。すべての MFA が、同じレベルのセキュリティを提供すると考えるのは間違いです。その意味で、2022/08/09 の「Cloudflare の従業員に SMS フィッシング攻撃:Twilio の二の舞にならなかった理由は?」も、なかなか興味深い記事となっています。よろしければ、以下の関連記事も、ご参照ください。
2023/03/01:MFA バイパス:3種類の侵入ベクターとは
2022/10/19:パスワードレス・ライクとフル・パスワードレスの違いは?
IoT OT Security News 
You must be logged in to post a comment.