多要素認証はこうして突破される 5大攻撃手法と防御策

サイバー攻撃を防ぐためにパスワードに加えて多要素認証が広く使われている。だが多要素認証は必ずしも安全ではない。多要素認証を突破する攻撃のテクニックと、攻撃を防ぐ方法について紹介する。

[畑陽一郎，キーマンズネット]

　サイバー攻撃に対してパスワードはあまりにも守りが弱い。そのため、パスワードに加えて何らかの要素を追加して防御する多要素認証（MFA）が広く使われている。

　だが多要素認証を導入すれば鉄壁の守りが手に入ると考えてはいけない。攻撃者がどのような手口で多要素認証を突破するのか、攻撃を防ぐにはどうすればよいのかを紹介する。

多要素認証をどうやって突破するのか

　Keeper Securityのティム・トラン氏は多要素認証の弱点と、弱点をカバーする方法を次のようにまとめた。

　多要素認証を有効にすると、オンラインアカウントの保護がより強力になる。パスワードだけを使うよりも良い方法だ。だが、一部の多要素認証はサイバー攻撃に対して脆弱（ぜいじゃく）であり、このような方式を使ったサービスはすぐに狙われてしまう。なぜだろうか。多要素認証の方式の違いをまず振り返ってみよう。

そもそも多要素認証とは？

　多要素認証とは、オンラインアカウントにアクセスするために追加の認証が必要になるセキュリティの方式だ。多要素認証を有効にすると、IDとパスワードなどから成るログ認証情報とは別の形式の認証が必要になる。多要素認証の「多」とはパスワード以外の認証要素が含まれることを意味する。このような認証要素は次の3種類に分類できる。

ユーザーが知っていること
　パスワードやセキュリティに関する質問に対する回答、PINコードなど、ユーザーが知識として知っている何かに基づいて身元を証明する。

ユーザーが持っているもの
　セキュリティキーやワンタイムパスワード（OTP）装置の表示など、ユーザーが物理的に持っているものに基づいて身元を証明する。

ユーザーが生来持っているもの
　顔認識のための顔や指紋など、ユーザー固有のバイオメトリクスに基づいて本人であることを証明する。

　このうち2つ以上を含むのが多要素認証だ。ユーザーが知っていることに加えて、持っているもの、または生来持っているものを組み合わせることが多い。こうすればユーザーが知っていることが漏えいしても、攻撃者は追加の認証要素を手に入れることが難しいために、セキュリティが保たれる。

多要素認証を突破する5つの手法

　次に多要素認証を攻撃者が突破する手法を5つ紹介しよう。いずれもMFAバイパス攻撃の変種だ。

SIMスワッピング　携帯電話は電話やテキストメッセージなどの通信を可能にするためにSIMカードが必要だ。SIMスワッピングの攻撃者はまず、被害者の情報を何らかの方法で集める。次に「携帯電話やSIMカードをなくした」などの理由を付けて、携帯電話の会社に新しいSIMカードのアクティベートを依頼する。新しいSIMカードが有効になると、攻撃者は被害者のテキストメッセージや電話を受信できるようになる。こうなってしまうともう突破される寸前だ。攻撃者はSMS認証で被害者のMFAのコードを受け取り、オンラインアカウントにアクセスできるからだ。

ソーシャルエンジニアリング
　ソーシャルエンジニアリングとは、被害者に何かをさせたり、個人情報を開示させたりするために用いられる心理的な手法だ。攻撃者はまず対象を調査し、どのような攻撃が有効なのかを練り上げる。その後、被害者がよく利用する企業など、被害者にアクセスしてもおかしくない人物になりすます。最後に攻撃者はフィッシングを利用してユーザーをだまし、個人情報を開示させる。こうなると多要素認証が突破されるのは目前だ。攻撃者は多要素認証のコードを求める偽の電子メールやテキストメッセージを被害者に送信したり、ログイン認証情報と多要素認証のコードの入力を促す偽装Webサイトに被害者をリンクさせたりできるからだ。

電子メールアカウントの乗っ取り
　被害者の電子メールアカウントを乗っ取る手法もよく使われる。なぜなら電子メールアカウント自体に多要素認証が使われていないなら、オンラインアカウントよりも電子メールアカウントの方が弱いセキュリティとなり、こちらを攻撃した方が成功率が高くなるからだ。乗っ取った後はユーザーをロックアウトしたり、ユーザーの行動を監視したり、ユーザーの機密情報にアクセスしたり、他のアカウントを乗っ取ったり、ユーザーになりすましたりできる。

　もしも電子メールアカウントを通じて多要素認証のコードを受け取る方式を被害者が選択していたなら、もはや打つ手はない。

中間者攻撃
　中間者攻撃はマンインザミドル（MITM）攻撃とも呼ばれる。通信を交わす当事者間に攻撃者が身を置いて送信データを傍受するサイバー攻撃の一種だ。通信自体が暗号化されていない場合、攻撃者は通信の内容を全て見られるため、多要素認証のコードもばれてしまう。中間者攻撃を行うには公衆Wi-Fiネットワークを偽装したアクセスポイントが使われることが多い。自宅や社内のアクセスポイント以外のアクセスポイントを使うと危険が高いということだ。攻撃者は通信内容を傍受できるだけでなく、送信データを改ざんすることもできる。

　攻撃者は中間者攻撃を使って、ユーザーのログイン認証情報や、電子メール認証など、インターネット経由で送信された多要素認証コードを傍受し、得たコードを使って多要素認証をバイパスする。こうなってしまえばもはや防御はできない。

マルウェア
　マルウェアは攻撃が端末に感染させ、機密情報を盗むために使用する悪意のあるソフトウェアだ。攻撃者はフィッシングやなりすましWebサイト、ドライブバイダウンロード、エクスプロイトキット、マルバタイジング、トロイの木馬など、さまざまな方法を用いて被害者のデバイスへ感染を試みる。いったんマルウェアがインストールされると、攻撃者はマルウェアを使用して、ファイルの内容を盗み見たり、改ざんしたり、破壊したり、機密データを盗んだり、デバイスに損害を与えたり、デバイスを制御したりできる。

　当然、マルウェアを使用して多要素認証を回避することもできる。マルウェアがデバイスにインストールされると、攻撃者はデバイスを制御し、ユーザーが入力したりデバイスに保存されている多要素認証のコードにアクセスしたりできるからだ。

MFAバイパス攻撃を防ぐには

　MFAバイパス攻撃を防ぐにはどうすればよいだろうか。次のベストプラクティスに従うとよい。

MFAに認証アプリケーションを使用する
　認証アプリケーションを多要素認証の追加認証方法として使える。このアプリはユーザーのデバイス上でローカルにタイムベース・ワンタイムパスワード（TOTP）を生成する。TOTPは30秒から60秒間のみ有効だ。TOTPの有効期限が切れると、認証アプリは秘密のアルゴリズムに基づいて新しい固有のTOTPコードを生成する。ログイン認証情報は認証アプリが生成したTOTPコードとともに、ユーザーが自分のアカウントにログインするために使われる。

　MFAバイパスを防ぐため、SMSや電子メールによる認証は避けて、代わりに認証アプリを使用しよう。SMSや電子メール認証は、SIMスワッピングやMITM攻撃を受けると犯罪者に簡単に傍受されてしまう。認証アプリはTOTPコードをインターネット経由では送信せず、ローカルで生成するためにより安全に使用でき、攻撃者に盗まれにくい。

多要素認証のコードの共有を避ける
　攻撃者はソーシャルエンジニアリング攻撃を使って多要素認証のコードを盗み出そうとする。多要素認証コードの共有を促すメッセージは偽物だとして無視しよう。

セキュリティキーを使用する
　セキュリティキーはシステムやアプリ、アカウントへのアクセスを提供する物理的な認証形式だ。セキュリティキーはユーザーが物理的に所持しているため、攻撃者が盗んでアカウントにアクセスすることは難しい。セキュリティキーのもう一つのメリットは使いやすいことだ。タップするか、デバイスに挿入するだけで認証が完了する。

強力なパスワードでアカウントを保護する
　攻撃者はオンラインアカウントへのアクセスするためにMFAのコードを盗もうとする。このときユーザーが強力でユニークなパスワードを使ってアカウントを保護していれば、MFAを回避することが難しくなる。なぜなら強力なパスワードを使用すれば、攻撃者がログイン認証情報を推測することが難しくなり、MFAバイパス攻撃を防ぐことができるからだ。

　強力なパスワードとは、少なくとも16文字の長さで、大文字と小文字、数字、特殊文字をランダムに組み合わせたものだ。ペットの名前やひいきのチーム名などの情報はソーシャルハッキングによって推測できるため、パスワードに含めてはならない。もちろん、連続した数字や文字、よく使われる辞書に乗っているような単語を使うことも避ける。例外は辞書に載っている複数の単語をランダムに組み合わせた文字列だ。

サイバー攻撃に関する知識を身に付ける
　MFAバイパスの被害に遭わないためには最新の攻撃に関する知識を身に付ける必要がある。攻撃者はここで紹介した方法とは別にMFAをバイパスしてオンラインアカウントにアクセスする新しい方法を常に開発しているからだ。

MFAバイパス攻撃を防ぐためにソリューションを導入する
　MFAバイパス攻撃を防ぐためには専用のソリューション導入も役立つ。例えば、認証アプリをMFAと組み合わせて使う。認証アプリはデバイス上でローカルにMFAのコードを生成できるため、攻撃者がMFAのコードを盗むことは難しい。

　具体的にはユーザーが容易にアカウントへログインできるようにするために、パスワードマネジャーを認証アプリとして使用すればよい。パスワードマネジャーは、パスワードなどの個人情報をデジタル保管庫に安全に保管、管理できるツールだ。優れたパスワードマネジャーには、ツール内でローカルに多要素認証のコードを生成する認証アプリ機能が統合されている。