毎日、人々は通知に次々と 攻撃されています。これをクリックして、あれを押して、ビープ音、アラーム、ピンポン音、リストは延々と続きます。時々、誰がどんなことを成し遂げているのか不思議に思うことがあります。Translated
何度も繰り返すうちに、それは無意識になり、もはや注意を払わなくなります。「考えずにやる」と言われることがどれだけ多いかを考えてみてください。そして、すべてのサイバー犯罪者は、人々が気を散らされていたり圧倒されていたりする時がチャンスであることを知っています。感情や熟考なしに自動的に行う行動は、簡単に悪用されるのです。Translated
多要素認証 (MFA)は、セキュリティを向上させるための重要なステップとして広く認識されています。リソースにアクセスするためにユーザ名とパスワードだけを要求するのではなく、MFAはパスキー、プッシュ通知による承認、ワンタイムパスワード(OTP)、生体認証、またはハードウェアトークンなど、あなたが誰であるかを識別するための別の「要素」を追加します。MFAはセキュリティを向上させます。なぜなら、たとえ1つの認証情報が侵害された場合でも、理論的には不正なユーザは2番目の認証要件を満たすことができないからです。Translated
MFAの問題は、それが煩わしいことです。他の種類の通知と同様に、MFAの通知が多すぎると、必要な注意を払わなくなることがあります。そして、攻撃者はそれを狙っています。彼らは、ユーザの注意を奪うことによって、気が散ったユーザがセキュアな環境に認証するために必要なMFA認証情報を提供することを期待しています。この戦術は「MFA疲れ」と呼ばれ、企業に対する大規模な侵害が注目を集めているため、より多くの注目を浴びています。 Uber, Cisco, Twitter, Robinhood, Okta、 Office 365 users.Translated
MFA疲れは、フィッシング攻撃の一種です。 MITRE ATT&CK frameworkMFA疲れは、「多要素認証(MFA)メカニズムを回避し、ユーザに送信されるMFAリクエストを生成することによってアカウントにアクセスする方法」として定義されます。Translated
この攻撃の仕組みは、ハッカーが従業員のユーザ名とパスワードにアクセスし、それを使ってログインを試みるというものです。それにより、多要素認証のプッシュ通知がトリガーされ、これはMFA疲れに最も脆弱な部分です。通知は、スマートフォンに表示される新しいウィンドウやポップアップボックスで、従業員にリクエストの承認または拒否を求めるものです。「本当にあなたですか?」という画面は非常に一般的であるため、多くの場合、人々はそれを消すためにクリックして、日常業務に戻ろうとします。Translated
攻撃者は、そのような無意識的な確認を何度も模倣し、ユーザが注意を払っていない瞬間を狙います。いくつかのリクエストがうまくいかないと、ハッカーは手法を強化します。時には、ユーザの認証プログラムに複数の通知を送り込み、実質的にその人の電話をスパムのように扱うこともあります。それでもうまくいかない場合、ITスタッフや他の権限を持つ人物になりすまして電話をかけたり、テキストを送ったりして、ユーザにMFA通知を承認させようとするソーシャルエンジニアリングの手法を使うこともあります。Translated
フィッシングメールやマルウェアサイトのリンクをクリックするのと同じように、MFA通知を承認することは、壊滅的な結果を招く可能性があります。ハッカーがネットワーク内に侵入すると、通常は他の重要なシステムにアクセスする方法を見つけようと最善を尽くします。企業が最小権限アクセス、エンドポイント監視、アイデンティティガバナンスなどのゼロトラストセキュリティ対策を実施していれば、認証情報の侵害の可能性を減らし、攻撃者が大きな損害を与えるのを防ぐことができます。しかし、多くの企業にはアクセスを得るために利用されるセキュリティの隙間があります。Uberの攻撃の場合、侵入者はスクリプトを見つけ、それを使って企業の特権アクセス管理(PAM)プラットフォームにアクセスできるようになりました。Translated
教育Translated
それは刺激的なハイテクソリューションではないかもしれませんが、ユーザ教育はこのような「プロンプト爆撃」攻撃を成功させないために最も重要な要素です。これは、誰かがあなたのドアをノックしたり、アパートの建物に入るためにブザーを鳴らしたりするのと似ています。窓から外を見たり、「誰ですか?」と尋ねたりせずに入れません。プッシュ通知を受け取ったら、クリックする前に考えてみてください。ログインしていないのに、なぜログインリクエストを承認するのでしょうか?その答えは、絶対に承認すべきではないということです。Translated
適切なテクノロジーを導入するTranslated
MFAのリスクについてユーザを教育することは重要ですが、テクノロジーも役立ちます。MFA通知内に追加のコンテキストを提供することで、ユーザは承認するかどうかを判断するための情報を得ることができます。例えば、いくつかのMFAソリューションでは、通知内にタイムスタンプ、アプリケーション、場所を表示します。他のソリューションでは、ウェブログインページに一意のログインコードを表示し、そのコードが通知内の同じコードと一致する必要があります。また、プッシュ通知の代わりにOTPパスコードを使用することも検討できます。OTPはこれらの攻撃に対してより強靭である傾向があります。どのソリューションを選んでも、これらのテクノロジーは、エンドユーザが自分で開始していないリクエストを誤って承認する可能性を減らすことができます。Translated
適応型アクセスを活用するTranslated
ソリューションは一律であるべきではありません。コンテキストを活用することで、MFA疲れ攻撃を軽減することができます。これにより、攻撃者が無防備なユーザにスパムを送る能力を制限できます。適応型アクセスや リスクベース認証 は、ログインリクエストを特定の信頼できる場所や既知のデバイスに制限することができます。行動分析は異常なログイン活動を検出するのに役立ち、回数制限は連続する不正なログイン試行を制限することができます。Translated
パスワードレスを利用してみようTranslated
可能な場合は、通知ベースのMFAの代わりにパスワードレス認証方法を検討してください。例えば、FIDO2は、認証者とウェブアプリケーションの間で直接的な暗号化接続を要求することにより、フィッシングや「中間者攻撃(MitM)」または「敵対者中間者攻撃(AitM)」に対して特に耐性があります。しかし、FIDOのようなフィッシング耐性のある方法でも、MFAのセキュリティは認証情報のライフサイクルによって決まります。このライフサイクルは、 MFA登録から始まり、 デバイスの交換や認証情報のリセットなどのイベント も含まれます。これらの活動は、攻撃者が不正アクセスを得る最も可能性の高い場面の例となります。Translated
常に監視するTranslated
最後に、組織は予防が解決策の半分に過ぎないことを認識する必要があります。アイデンティティシステムは、進行中の攻撃の検出と修復にも役立たなければなりません。連続したログイン失敗や過剰なログイン試行は、疑わしい活動の潜在的な兆候の一例です。この情報は、セキュリティ情報およびイベント管理(SIEM)ソリューションに入力され、セキュリティオペレーションスタッフによるさらなる調査に使用されるか、 アイデンティティガバナンス&管理 (IGA)プラットフォームでアカウントレビューをトリガーするために使用されることがあります。Translated
ユーザを教育し、MFAプロセスに関するより強力な制御を実施することで、組織はMFA疲れのリスクを低減できます。また、取引先が自社のシステムに対して保護を施していることを確認することも重要です。RSAには、ID Plusに関する実践、運用、管理など、セキュリティ対策の概要を提供する ホワイトペーパー があります。また、システムのパフォーマンスやセキュリティに関する最新情報については、 セキュリティページをご覧ください。.Translated
RSAのアプローチはMFA疲れに対してより強靭です。だからこそ、セキュリティを最優先にする企業が私たちに頼り、ビジネスの保護を支援しています。認証リスクや、RSAがどのようにパスワードに依存しないセキュリティへ移行する手助けができるかについて、さらに詳しく知りたい場合は、ソリューションブリーフ 「パスワードレス認証:今こそその時、そして支援があります」をご覧ください。Translated
###
Try the world’s most-deployed cloud MFA for free.Translated
