Microsoft enforces number matching to fight MFA fatigue attacks
2023/05/08 BleepingComputer — Microsoft は、MFA 疲労攻撃を防ぐため、Microsoft Authenticator のプッシュ通知において番号照合を実施することにした。この種の、プッシュボミング/MFA プッシュスパム攻撃を実施する脅威アクターたちは、盗み出した認証情報を悪用し、モバイル・プッシュ通知が承認されるまでターゲットに送り続け、企業アカウントにログインしようとする。多くのケースにおいて、標的にされた被害者は、無限に続く警告を止めるために、あるいは、誤って悪意の MFA プッシュ要求に応じ、アカウントへの攻撃者のログインを許してしまう。
Continue reading “Microsoft と MFA 疲労攻撃:Authenticator のプッシュ通知で番号照合を実施”CISA Urges Organizations to Implement Phishing-Resistant MFA
2022/11/02 SecurityWeek — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、フィッシングに耐性のある Multi Factor Authentication (MFA) と MFA 対応アプリの番号照合を導入することで、組織におけるフィッシング脅威などからの保護に関するガイダンスを発表した。MFA とは、漏洩したログイン情報を悪用する攻撃者からの、ネットワークやシステムへの不正アクセスを困難にするセキュリティ・コントロールのことであり、ユーザーによる本人確認を実施するために、2つ以上の異なる認証手段の組み合わせを要求するものだ。
Continue reading “CISA の MFA ガイダンス:Number Matching 実装でフィッシングに対抗”Okta: Credential stuffing accounts for 34% of all login attempts
2022/09/21 BleepingComputer — 2022 Q2 にクレデンシャル・スタッフィング攻撃が流行し、そのためのトラフィックが、一般ユーザーからの正当なログイン試行回数を上回る国もあるという。この種の攻撃で悪用されるのは、複数のサイトで同じ認証情報のペア (ログイン名とパスワード) を使用する、パスワード・リサイクルという悪習慣である。
Continue reading “Okta 報告:全ログイン試行の 34%を占めるクレデンシャル・スタッフィングの猛攻”MFA Fatigue: Hackers’ new favorite tactic in high-profile breaches
2022/09/20 BleepingComputer — 企業の認証情報へのアクセスを試みるハッカーたちは、大規模なネットワークに侵入するために、ソーシャル・エンジニアリング攻撃を多用し始めている。 多要素認証の普及に伴い、それらのを攻撃する際の構成要素の1つとして、MFA Fatigue (MFA 疲れ) と呼ばれる手法が一般的になってきた。企業ネットワークに侵入する際にハッカーたちは、盗み出した従業員のログイン認証情報を使って VPN や内部ネットワークに、アクセスするのが一般である。そしてハッカーたちにとっては、フィッシングやマルウェアで流出させた認証情報があり、また、ダークウェブ・マーケット・プレイスで購入した認証情報もありという具合に、さまざまな方法で企業の機密情報の入手が可能であり、それは難しいことではないというのが現実である。
Continue reading “MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落”
IoT OT Security News 