認証の盲点:MFAを狙うサイバー攻撃の手法と防御の最前線
デジタル化が進む現代において、アカウントのセキュリティ確保は最も重要な課題の一つです。パスワードだけでは不十分であるという認識が広まり、多要素認証(MFA:Multi-Factor Authentication)の導入が一般化しています。しかし、MFAもまた、巧妙化するサイバー攻撃の標的となっています。本記事では、MFAを突破しようとする最新の詐欺手口とその技術的な背景、そしてそれらに対する具体的な防御策について詳しく解説します。
多要素認証(MFA)が狙われる背景
MFAは、ユーザーが知っている情報(パスワード)、持っているもの(スマートフォン、トークン)、自身の特徴(指紋、顔認証)のうち、異なる種類の要素を複数組み合わせて本人確認を行う仕組みです。これにより、たとえパスワードが漏洩しても、他の要素がなければログインできないため、セキュリティレベルが飛躍的に向上します。
しかし、多くの主要なサービスやシステムがMFAを導入した結果、攻撃者もその突破方法を模索し始めました。MFA自体は強力な防御策ですが、その実装方法や、MFAの「外側」にある人間の行動や通信の仕組みの隙を突くことで、これを無効化しようとする攻撃が登場しています。
最新のMFA突破を狙う詐欺手口
MFAを直接破るというよりは、MFAによる認証を回避したり、ユーザーにMFAの承認を誤って許可させたりする手口が主流です。代表的なものをいくつかご紹介します。
1. フィッシングと認証情報収集からのMFAバイパス
最も古典的でありながら、現在でも有効な手口です。攻撃者は巧妙なフィッシングサイトを作成し、ユーザーにIDとパスワードを入力させます。同時に、その情報を使って正規のサイトにログインを試みます。正規サイトがMFAを要求すると、攻撃者はログイン中の画面でMFAの入力を待ち受けるか、リアルタイムにユーザーにMFAの承認を促します。
- 手口の詳細: ユーザーがフィッシングサイトにID/PWを入力した瞬間に、攻撃者は裏で正規サイトへのログインを開始します。正規サイトからMFAのプッシュ通知やコード入力が求められると、フィッシングサイト上で「追加の認証が必要です」などと表示し、ユーザーにMFAの承認やコード入力を促します。ユーザーは正規サイトからの要求だと思い込み、MFAを完了させてしまいます。攻撃者はそのMFAセッションを乗っ取り、正規ログインを完了させます。
2. MFA Fatigue (MFAプッシュ爆撃)
特定のターゲットに対して、連続してMFAのプッシュ通知リクエストを送りつける攻撃です。
- 手口の詳細: 攻撃者は事前にフィッシングなどで入手したID/PWを使用し、ターゲットのアカウントに対して繰り返しログインを試みます。ログインが試みられるたびに、MFAとして設定されたスマートフォンなどにプッシュ通知が送られます。「承認しますか?」という通知が何度も届くことで、ユーザーはうんざりしたり、誤って「承認」を押してしまったりすることを狙います。特に深夜や早朝に実行されることが多く、判断力が鈍っている時間帯を狙います。一度承認させてしまえば、攻撃者は正規のログインセッションを獲得します。
3. SIMスワップとSMS認証の突破
SMSでMFAコードを受け取る設定にしている場合を狙う攻撃です。
- 手口の詳細: 攻撃者はソーシャルエンジニアリングや内部協力者を通じて、ターゲットの電話番号を攻撃者自身のSIMカードに移植(SIMスワップ)させます。これにより、ターゲット宛ての電話やSMSが全て攻撃者のデバイスに届くようになります。攻撃者は次に、ターゲットのアカウントへのログインを試み、SMSで送信されるMFAコードを受け取って認証を突破します。
4. セッションハイジャックとCookieの悪用
MFAが完了した後のセッション情報を奪取する手口です。
- 手口の詳細: ユーザーが正規のサイトにログインし、MFAを含む認証プロセスを完了した後に、ブラウザに保存されるセッションクッキーなどをマルウェアやクロスサイトスクリプティング(XSS)攻撃などによって盗み出します。攻撃者はこのセッションクッキーを使用することで、再度MFAを経由することなく、ユーザーになりすましてサービスにアクセスします。
技術的背景:なぜこれらの手口が有効なのか
これらの攻撃手口は、MFA認証プロトコルの根本的な脆弱性を突いているわけではありません。多くの場合、以下のような側面に依存しています。
- 人間の心理: フィッシングにおける焦りや不注意、MFA Fatigueにおける煩わしさや判断力の低下など、人間の認知や行動の隙を突いています。
- プロトコルの特性: SMS認証は通信網の脆弱性(SIMスワップ)、プッシュ通知は承認のハードルの低さ(誤タップ)などを突いています。セッション管理は、一度確立された信頼状態を悪用するものです。
- インフラストラクチャの連携: SIMスワップは通信事業者の本人確認プロセスの甘さを突く側面があります。
特にMFA Fatigueは、技術的には単純なログイン試行の繰り返しですが、サービス側がユーザーへの通知を止めない限り、ユーザーにとっての精神的な負担となり得ます。また、フィッシングと組み合わせることで、ログイン試行元のIPアドレスや場所が正規ユーザーと一致しているかのように見せかけ、サービス側のリスク検知を回避しようとすることもあります。
MFA突破型詐欺に対する具体的な防御策
攻撃者がMFAを迂回または悪用しようとする手口に対し、ユーザーや組織は以下のような対策を講じるべきです。
1. より強固な認証要素の利用
- 認証アプリの利用: SMS認証はSIMスワップのリスクがあるため、Google Authenticator、Microsoft Authenticatorなどの認証アプリが生成するワンタイムパスワード(TOTP)やプッシュ通知の利用が推奨されます。
- 物理セキュリティキー(FIDO2/WebAuthn): 最も安全性が高いとされる方式です。物理的なデバイスを必要とし、フィッシング耐性が極めて高いのが特徴です。パスキー(Passkey)は、このFIDO2/WebAuthnをパスワードレスで利用するための技術であり、対応サービスが増えています。可能な限りパスキーまたは物理セキュリティキーへの移行を検討してください。
2. プッシュ通知の利用方法の見直し
- 通知内容の確認: プッシュ通知によるMFA承認の場合、通知元のサービス名、ログイン試行された日時、おおよその場所などが表示されることが多いです。身に覚えのない通知の場合は、絶対に承認せず、サービス側のアカウント履歴を確認してください。
- 承認方式の変更: 単に「承認」ボタンを押す方式だけでなく、「画面に表示された番号と同じ番号をアプリで選択する」といった、よりインタラクティブな承認方式(Number Matching)を提供するサービスを選ぶ、または設定を有効にする。
3. アカウント保護のための設定強化
- アカウントリカバリ方法の見直し: アカウントを復旧する際の本人確認方法(予備のメールアドレス、電話番号など)がSIMスワップなどの攻撃で乗っ取られないよう、複数の復旧手段を設定し、それらのセキュリティも確保する。
- ログイン履歴と設定の定期的な確認: 利用しているサービスのログイン履歴やセキュリティ設定を定期的に確認し、不審なアクティビティがないかチェックする習慣をつけましょう。
- リスクベース認証の活用: サービス側が提供している場合、普段利用しない端末や場所からのログイン試行に対して、追加の認証を要求する設定(リスクベース認証や条件付きアクセス)を有効にすることで、攻撃者の不正ログインを防ぐことができます。
4. セキュリティ教育と啓発
- フィッシング詐欺への警戒: 不審なメールやSMSのリンクはクリックしない、公式サイト以外で認証情報を入力しない、といった基本的な対策を徹底することが依然として重要です。
- MFA Fatigueへの対処法: 身に覚えのないMFAプッシュ通知が頻繁に届く場合の適切な対処法(承認しない、パスワード変更、サービスへの問い合わせなど)について理解しておく必要があります。
5. システム管理者向けの対策
組織においては、以下の技術的対策も重要です。
- 強力なMFA方式の強制: SMS認証を無効化し、認証アプリやFIDO2キーのみを許可するポリシーを適用する。
- リスクベース認証と条件付きアクセス: Azure AD Identity ProtectionやOkta Adaptive MFAなどのIDaaS機能を利用し、リスクの高いサインイン試行に対して追加の認証やアクセス制限を設ける。
- MFA Fatigue対策機能: 一部のIDaaSでは、短時間でのMFAプッシュ通知の過多を検知し、一時的にアカウントをロックしたり、通知を停止したりする機能を提供しています。
- セッション管理の強化: 短時間でのセッションタイムアウト設定、セッションクッキーへのHttpOnly属性やSecure属性の付与、セッションハイジャック検知などの対策を行います。
まとめ
多要素認証(MFA)は今日のデジタルセキュリティにおいて不可欠な防御層ですが、それを標的とした攻撃も進化しています。攻撃者は、MFAの技術的な弱点を突くというよりも、実装の隙間や人間の心理、関連するインフラの脆弱性を悪用しています。
SMS認証から認証アプリへ、さらに物理セキュリティキーやパスキーへと、よりフィッシング耐性の高い認証方式への移行を検討することが、現在のMFA突破型詐欺に対する最も有効な対策の一つです。加えて、常に最新の詐欺手口に関する情報を収集し、不審な通知や挙動に警戒心を持つこと、そしてセキュリティ教育を継続することが、自身と大切なアカウントを守る上で不可欠です。
このハンドブックが、皆様が最新のサイバー攻撃から身を守る一助となれば幸いです。