サイバー攻撃が狙う多要素認証 企業はどう守ればよいか

多要素認証を破るサイバー攻撃が話題になっている。企業側ができることは何だろうか。

[David Jones，Cybersecurity Dive]

　多要素認証はサイバー攻撃を防ぐ役に立つのだろうか。この質問に対する答えは「役に立つ。使い方を間違えなければ」だ。

企業は多要素認証をどう使えば良いのか

　使い方を間違えるとはどういう意味なのだろうか。

　Cisco Systemsの一部門でサイバーセキュリティに特化したCisco Talosは、2024年6月18日、多要素認証に関する調査結果を発表した（注1）。それによれば2024年の第1四半期にサイバー攻撃に遭った企業のほぼ半数で、多要素認証に課題があった。

　サイバー攻撃のうち25％のケースで、攻撃者が送信した多要素認証に関連する不正なプッシュ通知に被害者企業側の専門家が対応していた。

　さらにCisco Talosが対応した5件のうち1件で、企業側が多要素認証を適切に導入していなかったという。

　攻撃者が企業の防御を突破できるかどうか、多要素認証の果たす役割は大きいことが分かる。

　多要素認証の設定が不適切な場合は多い。2024年上期に起きた最大のサイバー攻撃のうちの2つで、多要素認証の設定に問題があった。医療情報サービスを提供するChange Healthcareに対するランサムウェア攻撃と（注2）、データウェアハウスプロバイダーSnowflakeの顧客に対する数十の攻撃だ（注3）。

　Change Healthcareに対する攻撃の場合、多要素認証をデフォルトで利用するように設定されていなかった。Snowflakeに対する攻撃では、影響を受けた顧客が多要素認証を適切に設定していなかったため（注4）、攻撃者はあらかじめ盗み出しておいた認証情報を利用できた。

多要素認証の上手な使い方とは

　Cisco Talosのニック・バイアシニ氏（アウトリーチの責任者）は多要素認証について次のようにまとめた。

　「多要素認証を導入する上で最も重要なことの一つは、安全性と効果をあらかじめ確認しておくことだ。SMSで多要素認証を通知するのは最も安全な使い方だとは言えない。だが、多要素認証を全く使っていない状態よりははるかに安全だ」

　推測しやすいパスワードや認証情報に頼らず、アプリケーションベースのプッシュ通知とユーザーが自分の身分を証明するために答えなければならない質問（チャレンジクエスチョン）を使った多要素認証を導入することが理想的だ。

　攻撃者の行動を予測することも大切だ。「Cisco Duo」が、2023年6月から2024年5月までに起きた1万5000件のプッシュ通知型の攻撃に関するデータセットを調査した結果、分かったことがある。

　攻撃者は午前8〜9時を含む業務開始前をプッシュ通知型攻撃に着手する時間帯として選んでいた。Cisco Talosによると、この時間帯は多くの従業員がスマートフォンを使う日常業務に追われており、不正な通知に気付けない可能性があるのだという。

　攻撃者は多要素認証を回避するために、従業員から認証トークンを盗むといった複数の手法を使っていることも調査によって明らかになった。IT部門に対してソーシャルエンジニアリングを使ったり、サードパーティーの請負業者を狙ったりする攻撃も起こった。

出典：MFA plays a rising role in major attacks, research finds（Cybersecurity Dive）
注1：How are attackers trying to bypass MFA?（Cisco Talos Blog）
注2：Change Healthcare, compromised by stolen credentials, did not have MFA turned on（Cybersecurity Dive）
注3：What we know about the Snowflake customer attacks（Cybersecurity Dive）
注4：100 Snowflake customers attacked, data stolen for extortion（Cybersecurity Dive）