現在、米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、Microsoft、Googleなど、世界有数のサイバーセキュリティ組織や企業の多くがフィッシングに強い多要素認証(MFA)を推進しています。
KnowBe4は、他社に先駆けてフィッシングに強いMFAを利用することを長年強く推進してきましたが、単なるMFAソリューションではなくフィッシングに強いMFAを使用することの重要性が、世界の多くの企業や組織に理解されるようになってきています。このブログでは、対フィッシング性の高いMFAについて考察します。
現状の問題点
残念なことに、サイバーセキュリティ業界の大多数の人が、フィッシングに強いMFAを使用すれば、すべてのフィッシングを防げると信じています。これは誤った認識です。また、サイバーセキュリティ防御ソリューションの効果を過大に評価することは、対策を推進しないことと同じくらい危険なことです。サイバーセキュリティの担当者は、フィッシングに強いMFAによって何を防ぐことができ、何を防ぐことができないのかを理解しなければなりません。
フィッシングに強いMFAとは?
簡単に説明すると、対フィッシング能力の高いMFAとは、中間者(MitM)攻撃やその他の一般的なソーシャルエンジニアリング攻撃を防ぐソリューションです。MFAに対するフィッシング攻撃で最も多くみられるのは、標的となったユーザーがアクセスしようとした正規のWebサイトに接続する前に、MitMによって偽のプロキシWebサイトに接続させる手法です。人を騙して悪意のあるWebサイトに誘導することが困難ではないことは、過去の多くの攻撃が実証しています。
この攻撃に必要なのは、正規のように見せかけたボタンをクリックさせるか、何気のない情報を確認するように求めるフィッシングメールだけです。そして、ユーザーにMFAのコード(通常、30~60秒間だけ有効な6桁のコード)の入力を求め、このユーザーがこのコードを入力すると、ハッカーが制御しているMitM用のWebサイトがこのコードを傍受し、ユーザーとの接続を解除して、取得したコードを再利用して正規のWebサイトにログインできるようになります。
KnowBe4でチーフハッキングオフィサーを務め今年の7月に他界したケビン・ミトニック氏は、MFAに対するMitM攻撃を分かりやすく解説したデモビデオを公開しています。
MFAに対するもう1つの一般的なフィッシングでは、プッシュ通知型MFAが狙われます。これは、プッシュ通知型MFAで保護されているサイトやサービスで、IDを使用したログインを個別に追加で承認するようユーザーに要求する手法です。ユーザーには通常、スマートフォンや別のアプリで、物理的な場所、ブラウザ、オペレーティングシステムのバージョン、時間などの関連するログイン情報と一緒に入力画面が表示されます。ユーザーは、そのログインを承認または拒否することができます。
ユーザーは、自分が開始したログインでなければ拒否すべきですが、多くの理由で、自分が開始していないログインを承認することがあります。例えば、ハッカーが、ソーシャルエンジニアリングによって組織のIT部門を装って電話やメッセージを送り、ソフトウェアのアップデートを完了させるためにログインを承認するようにユーザーに求めるケースがあります。
また、ハッカーが何十回もログイン画面を表示させ(プッシュ爆撃またはMFA疲労攻撃とも呼ばれます)、ユーザーがうっかり1度承認するのを待つ方法もあります。いずれにせよ、これらの攻撃を受けた多くのユーザーが、承認すべきでないログイン試行を承認しています。
フィッシングに弱いMFAの例
以下のようなMFAソリューションは、ソーシャルエンジニアリングを防止する追加の対策を講じない限り、簡単にフィッシングされる恐れがあります。
- Google Authenticator や Microsoft Authenticator などのワンタイムパスワード(OTP)MFA
- SMSベースのMFA
- プッシュ通知型MFA
フィッシングに強いMFAの例
以下のようなMFAソリューションはフィッシングに強いと考えられています。
- FIDO/FIDO2ベースのMFA
- FIDOパスキー(多要素を使用)
- NIST 800-63-B AAL3レベルのソリューション
- チャネルバインディングソリューション
- スマートカード
フィッシングに強いMFAの詳細なリスト(英文)は、こちらを参照してください。
残念ですが、フィッシングに強いMFAよりも、フィッシングに弱いMFAの方がはるかに多いです。
フィッシングに強いMFAで防ぐことができる攻撃
現在のフィッシングの約半数近くがパスワードを詐取することを目的としています。明確な統計はありませんが、これはほぼ間違いありません。MFAを使用しており、MFAでログオンするときにパスワードが使用されていなければ、パスワードを盗もうとするフィッシングメッセージは機能しません。
これは優れた対策です。積極的なエンドユーザー教育以外で、これほどフィッシングを防ぐことができるサイバーセキュリティ対策はないでしょう。だからこそ、フィッシングに強いMFAを使用して、重要なデータやシステムを保護する必要があるのです。
MFAの普及に伴って、ハッカーやマルウェア作成者はMFAを侵害する方法を取り入れた戦術に変えつつあります。ハッカーは日常的にMFAを使用しているユーザーを標的にしています。フィッシングキットは現在、フィッシングを防ぐ能力の低いMFAを標的として、対策を回避しています。このような理由から、KnowBe4や他の多くのセキュリティ企業が、できる限りフィッシングに強いMFAを使用することを推奨しています。
使用するMFAの方式をいつでも選べるわけではありません。例えば、私が使用している銀行は取引を確認するときに毎回SMSでメッセージコードを送信してきます。SMSベースのMFAは脆弱だとわかっていても、この銀行と取引するのであれば使用しなければなりません。しかし、選択肢がある場合には、できる限りフィッシングに弱いMFAではなく、フィッシングに強いMFAを選ぶべきです。
フィッシングに強いMFAでも防ぐことができない攻撃
フィッシングの半数がパスワードの詐取を目的としているとすると、フィッシング攻撃の残りの半数はMFAでは防げないことになります。フィッシングの多くは、悪意のあるコンテンツのダウンロードさせる、偽の請求書を送りつけて支払わせる、あるいは、社会保障番号や契約情報などの機密情報を窃取することを目的としています。MFAが組織できるのはいくつかの認証攻撃であり、認証を伴わない攻撃は止められません。悪意のあるハッカーが、MFAを使用しているユーザーを騙してマルウェアを実行させることができれば、MFAがあろうとなかろうとセキュリティは侵害されます。
MFAはパッチが適用されていないソフトウェアやファームウェアに対する攻撃を防止できない
過去のデータを見ると、成功した侵害の約20%から40%に、ソフトウェアとファームウェアにパッチが適用されていない状況が関連していました。Mandiant社は、パッチの適用されていないソフトウェアやファームウェアが、最近の攻撃の33%に関連していることを明らかにしています。MFAはこれらの攻撃を防止することはできません。
フィッシングに強いMFAというのは、全てのフィッシングを防ぐことができるMFAという意味ではない
「フィッシングに強い」ということは、全てを防ぐことができるという意味ではありません。防水時計と言ってもメーカーが保証する水深を超えれば浸水してしまいます。同じように、フィッシングに強いMFAと言っても、ソーシャルエンジニアリングやフィッシングの一般的な攻撃を防ぐことはできても、すべてのソーシャルエンジニアリングを防げるというわけではないのです。どのようなMFAソリューションであっても、たとえフィッシングに強いMFAソリューションであっても、新手の手口でフィッシングされる恐れがあるのです。以下に、その手口の例をいくつか紹介します。
例えば、どのようなサイトやサービスでも良いです。所定のMFAの使用を求めることを含む一連のユーザー操作全体を偽ってしまう方法があります。サイトやサービスが、確認用の画面を表示し、ユーザーに入力させ、MFAによる認証が正しく行われたように見せかけて、次の段階へと進めさせるのです。これらのサイトでは、MFAを使った認証のための操作全体が偽装されます。ユーザーは、正しく認証されたものと思い、偽のWebサイトやサービスを利用していることに気づかず、クレジットカード情報など機密情報を提供します。
あるいは、MFAベンダーを謳って、「新しい」MFA用のデバイスが送り付けられるもあります。このような攻撃の実例については、こちらの記事を参照してください。フィッシングに強いMFAであっても、コールバックフィッシング、QRコードフィッシング、ソーシャルメディア詐欺、SMSフィッシング(スミッシング)、音声通話詐欺、ロマンス詐欺は防止できません。ハッキングやソーシャルエンジニアリングの対象となる領域は膨大に存在しています。
フィッシングに強いMFAは、MFAのソーシャルエンジニアリングで一般的な攻撃の影響を受けにくいだけであり、全てのフィッシングを防止するわけではない
フィッシングに強いMFAは当然ながら重要です。フィッシングに弱いMFAを使用している企業は、フィッシングに対してより強いMFAへ移行することを強くお勧めします。パスワードのみの認証からMFAに移行すれば、ハッカーによるパスワードの詐取と再利用を防止できます。同様に、フィッシングに強いMFAに移行すれば、フィッシング対策を強化できます。
しかし、たとえフィッシングに強いMFAを使用したとしても、フィッシングの懸念を完全に排除できるわけではありません。ソーシャルエンジニアリングやフィッシングにはさまざまな手口があり、インターネットのセキュリティ全体が根本から変わりでもしない限り、永遠にとは言わないまでも、存在し続けるでしょう。これは、何百万人もの人が法執行機関に携わっているからといって、すべての犯罪がなくなったわけではありません。人を騙し、操る詐欺犯罪は、人類の歴史そのものと同じくらい古くから存在し、万能な解決策は存在しないのです。
フィッシングに強いMFAは優れたセキュリティツールであることは間違いありません。貴重なデータや情報を保護するため、あらゆる企業や組織がMFAを使用すべきです。しかし、いくらフィッシングに強いMFAでも、すべてのフィッシングを防ぐことができるわけではないので、過信は禁物です。
原典:Roger Grimes 著 2023年12月8日発信 https://blog.knowbe4.com/phishing-resistant-mfa-not-stop-attacks