多要素認証が万能ではないシンプルな理由

MFA（多要素認証）はサイバー攻撃に対する万能薬ではない。MFAサービスを提供する企業が標的にされ、打ち負かされている。MFAが万能とはいえない“単純な理由”を紹介する

[Matt Kapko，Cybersecurity Dive]

　最近頻発している、IDを用いた認証に対するフィッシング攻撃は単純な手口だがMFA（多要素認証）の防御が崩れやすいことを示している。MFAはサイバー攻撃に対する万能薬ではない。MFAサービスを提供する企業が標的にされ、打ち負かされているのだ。

事例で分かる多要素認証の突破パターン

　「どのような形であれ、ユーザー名とパスワードの組み合わせなどの単一要素認証よりもMFAが優れている」という点では、サイバーセキュリティの専門家とCybersecurity Divの認識は一致している（注1）。しかし、セキュリティの強度は多くの変数に依存しており、そのほとんどが未対応または対策不十分のままだ。電子メールやテキストメッセージ、マルウェアが仕込まれる可能性のある管理外のデバイスに依存する認証は弱い。

　Futurum Researchのシニアアナリスト兼リサーチディレクターであるロン・ウェストフォール氏は「サイバー攻撃者はMFAの回避策を見つけた。暗号技術や認証アプリ、物理鍵でより強力なMFAを実現できるにもかかわらず、MFAの使用を制限している企業が多すぎる」と語る。

　セキュリティプラットフォームを提供するBugcrowdの創設者兼CTOであるケイシー・エリス氏はメールで次のように述べた。「一般的にMFAは安全な対策として受け入れられている。MFAを破る攻撃が一般化する以前から、MFAが未知の認証セキュリティリスクを解決するという考えは非論理的だ」。

　Twilioの2要素認証サービスは、2022年8月に複数の従業員がサイバー攻撃者にだまされて認証情報を提供したことにより、広く攻撃に利用された（注2）。この攻撃は少なくともユーザー1万人の認証情報を危険にさらす大規模なキャンペーンの一部だった（注3）。OktaやSignalを含む163のTwilioの顧客にも影響が広がり、それぞれのユーザー認証情報の多くに危険が及んだ（注4、5）。同じように、MFAはCiscoやUberに対する攻撃を阻止するにも十分ではなかった（注6、7）。

人間に依存したMFAの限界

　最も広く採用されているMFAのシステムは人間の行動に依存しているため、企業は複数経路の攻撃にさらされる。テキストメッセージや電子メール、ワンタイムパスワードは、脅威者がMFAをバイパスすることを可能にする中間者攻撃の影響を受けやすい。

　「多くの企業やユーザーは、電話番号を目的に応じて設計されていないデジタルIDデバイスとして信頼している。スマートフォンやデバイスが盗まれたり、危険にさらされたりした場合、攻撃者は電話番号と鍵データを自分自身や協力者に転送して認証要求を受け取れる。これは何としても避けなければならないシナリオだ」とウェストフォール氏は話す。

　「電子メールやテキストベースのMFAは代替手段がない場合にのみ使用すべき」とCorvus InsuranceのCISO（最高情報セキュリティ責任者）であるジェイソン・レブホルツ氏は電子メールで述べた。

　「全てのMFAが同じように作られているわけではない」とレブホルツ氏は言う。「現実には、ほとんどのMFAの実装は人間の行動や意思決定に依存している。ハッカーは、MFAプロンプトボミングのような新しい手法でこれを悪用し、ユーザーを困らせて『承認』をクリックさせ、プロンプトを停止させることを狙っている」。

　MFAにさらなる脆弱（ぜいじゃく）性を課す第一の要因である人間の関与は、多くの場合避けられないものだ。Arctic Wolf Labsのバイスプレジデント、ダニエル・タノス氏は、「今日の脅威状況において、どんなMFAであってもないよりはましだと言えるが、テキストメッセージと電子メールベースのMFAは壊れていると考えられる」と電子メールで述べた。

　「MFAは人間の行動を悪用されやすいという弱点がある。また、脅威者がアカウントを侵害することを困難にする一方で、『MFA疲労攻撃』（MFA fatigue）や『SIMスワップ技術』によってバイパスできる」とタノス氏は言う。

　MFAが人間の行動に依存しすぎているというよりも、ほとんどの認証形態が本質的に人間を介在させているということだ。「人間がいなければMFAはそもそも存在する意味がない」とエリス氏は述べた。

　結局のところ、MFAはサプライチェーンの最も弱い部分と、それを使う各個人のレジリエンスによってのみ強くなる。例えば、JupiterOneのCISO兼リサーチ責任者であるスーニル・ユー氏は「メール自体にMFAが搭載されていない場合、メールベースのMFAを使用することは無意味だろう」と電子メールで伝えた。

　MFAは脅威から身を守るための一つの障壁になるが、この防御の層に過剰な負荷をかけると欠点を思い知らされることになる。

　Gartnerのリサーチバイスプレジデントであるピーター・ファーストブルック氏は、「どのようなセキュリティの革新もいずれはバイパスされる。MFAは攻撃者のゲームを難しくしているがセキュリティに終わりはない。完璧な認証方法を探し続けるのではなく、失敗を想定し、この種のバイパスに備えなければならない」と述べた。

出典：Multifactor authentication is not all it’s cracked up to be（Cybersecurity Dive）

注1：Multifactor authentication has its limits, but don’t blame the technology

注2：Twilio employees duped by text message phishing attack

注3：Twilio discloses more victims as phishing attack effects cascade

注4：Okta entangled by Twilio phishing attack

注5：Internal Cisco data stolen after employee hit by voice phishing attack

注6：Uber details how it got hacked, claims limited damage