多要素認証を突破する悪質な方法が増えている

多要素認証（MFA）は、アカウント乗っ取りを防ぐ上で最も効果的な防御策の一つであり、中核的な防御策です。MFAでは、ユーザーにユーザー名とパスワードの入力を求めるだけでなく、アカウントにアクセスする前に、指紋、物理的なセキュリティキー、ワンタイムパスワードなど、追加の要素も入力する必要があります。この記事の内容は、MFAが必須ではないと断言するものではありません。

とはいえ、MFAには強度の異なるものがあり、最近の出来事は、こうした弱いMFAでさえ、一部のハッカーにとってはそれほど大きな障害にはならないことを示しています。ここ数ヶ月の間に、データ恐喝集団「Lapsus$」のようなスクリプトキディとみられる集団や、ロシア政府のエリート脅威アクター（SolarWindsハッキングの背後にいるグループ「Cozy Bear」など）が、どちらもこの保護を突破することに成功しています。

MFAプロンプト爆撃を入力

最も強力なMFAは、セキュリティと使いやすさのバランスをとるために企業コンソーシアムによって開発されたFIDO2と呼ばれるフレームワークに基づいています。ユーザーは、デバイスに内蔵された指紋リーダーやカメラ、あるいは専用のセキュリティキーを使用して、アカウントへのアクセス権限を確認することができます。FIDO2に基づくMFAは比較的新しいため、個人向けサービスと大規模組織向けサービスの両方で、まだ導入が進んでいません。

ここで登場するのが、古くて脆弱な形式のMFAです。これには、SMSで送信されるワンタイムパスワード、Google Authenticatorなどのモバイルアプリで生成されるパスワード、モバイルデバイスに送信されるプッシュ通知などが含まれます。有効なパスワードでログインする際、ユーザーはサインイン画面のフィールドにワンタイムパスワードを入力するか、スマートフォンの画面に表示されるボタンを押す必要があります。

最近の報告によると、この最後の認証方法が迂回されているとのことです。セキュリティ企業Mandiantによると、この手法を使用しているグループの一つは、ロシア対外情報局に所属するエリートハッカー集団「Cozy Bear」です。このグループは、Nobelium、APT29、Dukesといった名前でも活動しています。

「多くのMFAプロバイダーは、ユーザーがスマートフォンアプリのプッシュ通知を受け取ったり、電話を受けてキーを押すことで2要素認証を行えるようにしています」とMandiantの研究者は記している。「[Nobelium]の脅威アクターはこれを悪用し、エンドユーザーが認証を受け入れるまで、正規のデバイスに複数のMFAリクエストを送信し、最終的にアカウントへのアクセスを可能にしました。」

ここ数か月間にマイクロソフト、Okta、Nvidia に侵入したハッカー集団 Lapsus$ もこの手法を使用している。

「通話回数に制限はありません」と、Lapsus$のメンバーがグループの公式Telegramチャンネルに投稿しました。「従業員が寝ようとしている午前1時に100回電話をかければ、おそらく応答してくれるでしょう。従業員が最初の通話に応答したら、MFA登録ポータルにアクセスして別のデバイスを登録できます。」

Lapsus$のメンバーは、MFAプロンプト爆撃技術がマイクロソフトに対して効果的だったと主張した。同社は今週初め、ハッカー集団が同社従業員の1人のラップトップにアクセスできたと発表した。

「マイクロソフトだって！」と人物は書いている。「ドイツとアメリカから同時に従業員のMicrosoft VPNにログインできたのに、従業員は気づかなかったようだ。しかも、MFAを2回も再登録できた」

セキュリティ専門家向けのレッドチームハッキングツールの販売業者であり、Twitterのハンドルネーム「_MG_」で活動するレッドチームコンサルタントのマイク・グローバー氏は、Arsに対し、この手法は「基本的に単一の手法で、様々な形態を取ります。ユーザーを騙してMFAリクエストを承認させるというものです。『MFAボミング』という言葉が急速に定着しましたが、これはより巧妙な手法を見逃しています」と語った。

方法には次のものがあります:

• 大量の MFA リクエストを送信し、ターゲット側が最終的に 1 つを受け入れてノイズが止むことを期待します。
• 1日に1～2回プロンプトを送信する。この方法はあまり注目されないことが多いですが、「ターゲットがMFAリクエストを受け入れる可能性は依然として高い」とされています。
• ターゲットに電話をかけ、会社の一員であるかのように装い、会社のプロセスの一環として MFA リクエストを送信する必要があることをターゲットに伝えます。

「これらはほんの一例に過ぎません」とグローバー氏は語った。しかし、大量爆撃だけがこうした行為の唯一の形ではないということを知っておくことが重要だ。」

彼はTwitterのスレッドで、「レッドチームは長年、この攻撃の亜種を試してきました。レッドチームを擁する幸運に恵まれた企業にとっては、これは大きな助けとなりました。しかし、現実世界の攻撃者は、ほとんどの企業の全体的な対策の改善よりも速いペースで、この攻撃を進化させています。」と投稿しました。

他の研究者たちは、MFA プロンプト手法は新しいものではないとすぐに指摘しました。

「『MFAプロンプト爆撃』を発明したのはLapsus$ではありません」と、レッドチームのプロフェッショナルであるグレッグ・リナレス氏はツイートした。「彼らを発明者として称賛するのはやめてください。この攻撃ベクトルは、Lapsusが流行する2年前から現実世界の攻撃で使用されていました。」

いい子だね、FIDO

前述の通り、FIDO2形式のMFAは、サイトへのログイン時にユーザーが使用している物理マシンに紐付けられているため、この手法の影響を受けません。つまり、認証はログインするデバイス上で実行されなければなりません。あるデバイスで認証を行って別のデバイスにアクセスを許可することはできません。

しかし、FIDO2準拠のMFAを使用している組織がプロンプト爆撃の影響を受けないということではありません。これらのMFAに登録している人の一定割合が、キーを紛失したり、iPhoneをトイレに落としたり、ノートパソコンの指紋リーダーを壊したりすることは避けられません。

組織は、こうした避けられない事態に対処するための対策を講じておく必要があります。従業員が追加要素の送信に必要な鍵やデバイスを紛失した場合、多くの組織はより脆弱な形式のMFAに頼ることになります。また、ハッカーがIT管理者を騙してMFAをリセットし、新しいデバイスを登録させるケースもあります。さらに、FIDO2準拠のMFAは単なる選択肢の一つに過ぎず、安全性の低い形式も依然として許容される場合もあります。

「リセット/バックアップのメカニズムは攻撃者にとって常に非常に魅力的だ」とグローバー氏は言う。

FIDO2準拠のMFAを採用している企業の中には、ネットワーク管理やその他の重要な機能をサードパーティに依存しているケースもあります。サードパーティの従業員が、より弱いMFAで企業のネットワークにアクセスできる場合、より強力なMFAのメリットは大きく損なわれます。

企業がFIDO2ベースのMFAをあらゆる場所で使用している場合であっても、Nobeliumは保護を突破することができました。しかし、このバイパスは、ハッカーが標的のActive Directoryを完全に侵害した後にのみ可能になりました。Active Directoryは、ネットワーク管理者がユーザーアカウントの作成、削除、変更、そして承認されたリソースへのアクセス権限の付与に使用する、高度に防御されたデータベースツールです。このバイパスについてはこの記事では触れません。なぜなら、Active Directoryがハッキングされれば、ほぼゲームオーバーになるからです。

繰り返しますが、 どんな形態のMFAでも、MFAを全く使用しないよりはましです。SMSで配信されるワンタイムパスワードしか利用できない場合でも（たとえそれが誤りやすく、不快なものであっても）、MFAを全く使用し ないよりははるかに良いシステムです。この記事は、MFAに手間をかける価値がないと主張するものではありません。

しかし、MFAだけでは十分ではないことは明らかであり、組織がMFAを導入して終わりにできるようなものではありません。Cozy Bearがこれらの抜け穴を発見したとき、同グループの豊富なリソースと一流の技術力を考えると、特に驚く人はいませんでした。しかし今、10代の若者が同じ手法を使ってNvidia、Okta、Microsoftといった大企業に侵入していることを考えると、MFAを正しく使用することの重要性が認識され始めています。

「LAPSUS$を未熟で名声を求める集団として片付けたくなるかもしれないが、彼らの戦術は企業のセキュリティ担当者なら誰でも警戒すべきものだ」とKrebsOnSecurityの記者ブライアン・クレブス氏は先週書いている。

MFA プロンプト爆撃は目新しいものではないかもしれませんが、もはや企業が無視できるものではありません。

このストーリーはもともと Ars Technicaに掲載されました。

WIREDのその他の素晴らしい記事

• 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
• GPT-3 のようなコードですが、楽しく、速く、そして欠陥だらけです。
• あなた（そして地球）にヒートポンプは本当に必要です
• オンライン コースは大手テクノロジー企業の魂を取り戻すのに役立つでしょうか?
• iPod改造者が音楽プレーヤーに新たな命を吹き込む
• NFTはあなたが思っているような仕組みではない
• 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
• 🏃🏽‍♀️ 健康になるための最高のツールをお探しですか？ギアチームが選んだ最高のフィットネストラッカー、ランニングギア（シューズとソックスを含む）、最高のヘッドフォンをご覧ください