Why MFA Is Not the Panacea the Industry Is Touting it to Be
2023/10/06 InfoSecurity — 多要素認証 (Multi Factor Authentication:MFA) とは、ユーザーが本人であることを証明するために、ユーザーと認証システムのみが知るべき2つ以上の「秘密」の共有を要求する、デジタル認証ソリューションのことである。MFA は、単純なログイン名とパスワードよりも改善されたものである。しかし、非常に危うくなっており、何十億とは言わないまでも、何億ものオンライン攻撃を成功させてしまっている。残念なことに、ほとんどの MFA はパスワードと比べて、あなたを遥かに安全にすることはできず、また、この業界は、あなたが使用すべき MFA について十分に話していない。それであっても、貴重なデータやシステムを守るためには、可能な限り MFA を使うべきである。
数十年前にコンピュータ業界が取り組み始めたのは、デジタル・コード・ジェネレータ (以前はワンタイム・パスワード・ジェネレータとして知られていた)/バイオメトリクス/コンピュータに差し込むハードウェア・デバイスなどの、最初の形態の MFA の開発である。
MFA を使用する大半の人々は、ログオン名とパスワードだけを使用する人よりも、自分はハッキングされにくいと考えている。ほとんどの場合、それは真実ではない。そして、リスクを実質的に減らすことが不可能であっても、エンドユーザーを MFA に移行させるために、企業やユーザーは、時間/費用/リソースを費やしている。
しかし、組織とユーザーが、適切なタイプの MFA を選択することが可能であれば、大きな利益を得ることができる。しかし、どの MFA が「良い」もので、何が「あまり良くない」ものなのかを知る方法は、ほとんど公表されていない。
すべての MFA はハッキングされる可能性がある
どんな MFA ソリューションもハッキングされる可能性がある。しかし、MFA ソリューションの中には、他のソリューションと比べて、はるかに弾力性があり、耐性があるものもある。どのような MFA がハッキングされやすく、バイパスされやすいかという点から説明しよう。
デジタル・コードやワンタイム・パスワード (通常は4~6桁の長さ) を生成し、ユーザーがそれをログイン画面に表示し、再入力する MFA ソリューションは、最もハッキングされやすい MFA のひとつと考えられている。つまり、ハッカーがユーザーを騙して。ワンタイム・パスワードを偽の Web サイトに入力させ、それを盗み出した攻撃者が、被害者のサイトで再利用できるからだ。以前には、ソーシャル・エンジニアリング・ハッカーが盗み出すのは、その大半がはユーザーのパスワードだった。しかし現在では、ワンタイム・パスワードも簡単に盗み出せる。
この種の攻撃の例としては、ワンタイム・パスワード MFA を使用している雇用主からのものだと偽るメールを、潜在的な被害者が送られる手口が挙げられる。そのメールには、従業員が対応しなければならない、重要なイベントが記載されている。たとえば、給与に関する問題や、医療費の払い戻しや、人事部からの職務規定違反に関するものだったりする。
その従業員が、メールに埋め込まれた URL をクリックすると、ログイン情報の入力を求める偽サイトに誘導される。そこで、不正なサイトであることに気づかない場合には、ユーザーが入力したログイン名やワンタイム・パスワードなどを、ハッカーが受け取ることになる。今日において、最も人気のあるマルウェア・プログラムは、このタイプの MFA ハッキングを実行する。
プッシュ型 MFA
プッシュ型 MFA の中には、ユーザとしてロ グオンを試みる者に対して、「承認」または「拒否」を促すために、別のプッシュ通知メッ セージを、携帯電話やアプリなどの二次的な場所に送信するものがある。
その発想の根底には、ユーザーは自分が開始して予期していた、ログインのみを承認すという考え方がある。もし、想定外のプッシュ型通知を受け取ったら、それを拒否して、ハッキングの試みを報告すべきである。理論的には、これは素晴らしい認証ソリューションである。しかし、残念なことに、多くのユーザーは承認すべきではないログイン・プロンプトを承認してしまう。いまのハッカーたちは、プッシュ型認証で保護されたシステムが大好きである。
SMS ベースの MFA
インターネット上で最も人気のあるタイプの MFA は、携帯電話にログオンしているユーザーに、システムがワンタイム・パスワード・コードを送信するものである。そこでは、認証とユーザーの電話番号に結び付けられる。残念ながら、潜在的な被害者の携帯電話番号を、ハッカーが安価なプリペイド携帯電話に移動させるのは、簡単すぎる作業である。ハッカーは被害者の電話番号を盗み出し、SMS コードを送信する全てのユーザー・アカウントにログオンしようとする。
ーーーーーーー
これらの3つの例は、MFA をハッキングする場合の、最も一般的なシナリオであるが、他にも多数のバリエーションが存在する。ハッキングが何度も繰り返されたことから、これらのタイプの MFA に対して、米国政府は注意を促している。
はっきり言って、ワンタイム・パスワード MFA/プッシュ型 MFA/SMS 型 MFA などの、簡単にフィッシングできる MFA は使うべきではない。それらに対するハッキングやバイパスは容易であり、また、頻繁に発生している。
解決策は何か?
第一に、MFA ソリューションを選ぶのであれば、フィッシングに強い MFA ソリューションを選ぶべきである。
第二に、どのような方式の MFA を使用するにしても、その特定の方式の MFA に対する、一般的な高家のタイプと兆候を認識する方法については、自分自身を教育する必要がある。MFA を使用している組織の場合は、従業員たちに対して、同じことを行う必要がある。
MFA は、可能な限り利用すべきですが、それで全てが OK というわけではありません。考えてみれば、MFA は人間に固有のものではなく、デバイスに固有のものなので、かならず、そこにスキが生じます。最近では、Passkeys が広まりそうという感じなので、次のステップへと移行すると思いますが、認証が多層化されると捉えたほうが良いのかもしれません。よろしければ、MFA で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.