多要素認証を突破!?消耗攻撃の脅威
セキュリティを高めたい
「多要素認証消耗攻撃」って、何だか怖い名前だけど、どんな攻撃なの?
情報セキュリティ専門家
そうだね。「多要素認証」って、パスワードに加えて、スマホに送られてくる番号を入力したりする、より安全性の高いログイン方法のことなんだけど、その仕組みの弱点を突いた攻撃なんだ。
セキュリティを高めたい
安全性の高いはずの仕組みに弱点があるの?
情報セキュリティ専門家
そうなんだ。この攻撃では、スマホに認証の通知を何度も送りつけて、利用者を混乱させて、間違って許可させてしまうんだ。人間は疲れている時や焦っている時に、つい間違った操作をしてしまうことがあるよね。そこを狙ってくるんだ。
多要素認証消耗攻撃とは。
「多要素認証消耗攻撃」っていうのは、簡単に言うと、二段階認証を突破しようとするサイバー攻撃のことです。別名「プッシュ爆撃」とも言われています。二段階認証は、パスワードに加えて、スマホなどを使った追加の確認を挟むことで、より安全性を高める仕組みです。この攻撃は、人のミスや勘違いにつけこむのが特徴です。具体的には、スマホに何度も認証を促す通知を送りつけて、利用者を混乱させたり、システムのエラーだと勘違いさせて、不正なログインを許してしまうんです。2022年にはこの攻撃による被害が相次ぎました。そのため、アメリカでは、より安全性の高い「FIDO2」という仕組みに基づいた認証方法を推奨しています。
多要素認証の落とし穴
近年、パスワードだけでは安全性を十分に確保することが難しくなってきており、スマートフォンへの通知承認などを組み合わせた多要素認証が、セキュリティ対策の強化策として広く普及しています。
多要素認証は、「知識情報」「所持情報」「生体情報」といった異なる種類の要素を組み合わせることで、なりすましによる不正アクセスを防止する有効な手段です。
例えば、パスワードを入力した後にスマートフォンに送信される認証コードを入力することで、パスワードが盗まれてしまった場合でも、アカウントへの不正アクセスを防ぐことができます。
しかし、この多要素認証にも、人間の心理的な隙を突いた攻撃手法が存在します。それが、「多要素認証消耗攻撃」です。
これは、攻撃者が標的に対して、認証要求を何度も繰り返し送りつけることで、標的の疲弊を狙う攻撃です。
何度も認証を求められることで、標的は「システムの誤作動だろう」と考えたり、「早くこの作業を終らせたい」という心理状態に陥りやすくなります。
そして、攻撃者はその心理状態に乗じて、偽の認証画面に誘導し、認証情報を入力させて盗み取ろうとします。
多要素認証はセキュリティ対策として有効な手段ですが、過信は禁物です。
「多要素認証消耗攻撃」のような、人間の心理的な隙を突いた攻撃手法も存在することを認識し、セキュリティ意識を高めていく必要があります。
多要素認証とは | メリット | 攻撃手法 | 対策 |
---|---|---|---|
知識情報、所持情報、生体情報といった異なる種類の要素を組み合わせた認証方式 | なりすましによる不正アクセスを防止できる | 多要素認証消耗攻撃 – 認証要求を何度も送りつけ、標的を疲弊させる – 偽の認証画面に誘導し、認証情報を盗み取る |
セキュリティ意識の向上 |
プッシュ通知の嵐
– プッシュ通知の嵐近年、スマートフォンやタブレット端末の普及に伴い、プッシュ通知を活用したサービスが増えています。便利な反面、このプッシュ通知を悪用した新たな攻撃手法が登場しています。それが、「プッシュ通知の嵐」と呼ばれるものです。別名「多要素認証消耗攻撃」や「プッシュ爆撃」とも呼ばれ、ユーザーのセキュリティ意識の隙を突いてきます。「多要素認証」は、パスワードに加えてスマートフォンなどに送られる確認コードの入力などを求めることで、セキュリティを強化する仕組みです。通常、ログインを試みると、スマートフォンに「ログインを承認しますか?」といったプッシュ通知が届きます。ユーザーはこれを確認し、承認ボタンを押すことでログインが完了します。しかし、この便利な仕組みに目を付けた攻撃者は、不正に入手したIDやパスワードを使い、何度もログインを試みます。すると、ユーザーのスマートフォンにはログイン承認を求めるプッシュ通知が、まるで嵐のように、ひっきりなしに送られてくることになります。大量の通知にうんざりしたユーザーが、つい承認ボタンを押してしまう、あるいは誤って承認してしまう、これが攻撃者の狙いです。承認されると、攻撃者はユーザーのアカウントに不正にアクセスし、個人情報などを盗み出す可能性があります。この攻撃から身を守るためには、身に覚えのないログイン通知は安易に承認しないことが重要です。また、セキュリティ対策ソフトを導入したり、多要素認証アプリを利用するなど、セキュリティレベルの向上に努めることも有効な対策となります。
攻撃手法 | 別名 | 概要 | 目的 | 対策 |
---|---|---|---|---|
プッシュ通知の嵐 | 多要素認証消耗攻撃 プッシュ爆撃 |
不正に入手したIDとパスワードで何度もログインを試み、大量のプッシュ通知を送りつける。 | ユーザーに誤って承認ボタンを押させ、アカウントに不正アクセスする。 |
|
ユーザーの油断が招く事態
現代社会において、情報システムは私たちの生活に欠かせないものとなっています。そして、これらのシステムへのアクセスを保護するために、多要素認証といったセキュリティ対策がますます重要になっています。しかしながら、いくら強固なセキュリティ対策を施しても、それを利用する私たち人間の行動が油断を生み出してしまうことがあります。
大量の通知にうんざりしたり、急いでいたりする場合、私たちはつい何も考えずに承認ボタンを押してしまいがちです。あるいは、あまりにも多くの通知が届くことで、システムのエラーだと勘違いし、誤って承認してしまう可能性もあります。
このような人間の心理的な隙を突いて、攻撃者は巧妙な手口を仕掛けてきます。例えば、一見すると正規のサービスからの通知を装った偽のメッセージを送信し、ユーザーを騙して偽のウェブサイトに誘導することがあります。そして、そのウェブサイト上で認証情報を入力させて盗み取ったり、マルウェアをインストールさせたりするのです。
このように、攻撃者は本来突破できないはずの多要素認証を、ユーザーの油断につけ込んですり抜けてしまうのです。 重要な情報にアクセスされてしまうと、個人情報の漏洩や金銭的な被害だけでなく、企業であれば、業務の停止や信用の失墜といった深刻な事態を招く可能性もあります。
2022年の攻撃事例と対策
– 2022年の攻撃事例と対策
2022年は、残念ながら、認証を突破するために何度も何度も認証要求を送りつける、「多要素認証消耗攻撃」による被害が後を絶ちませんでした。この攻撃は、利用者がうんざりして認証を許可してしまうまで、あるいは攻撃者が不正な手段で認証を突破するまで、執拗に繰り返されます。
この深刻な脅威に対し、アメリカ合衆国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「耐フィッシング多要素認証」を推奨しています。従来の多要素認証では、スマートフォンに送られてきたプッシュ通知を承認するだけで認証が完了してしまうケースが多く見られました。しかし、この方法では、攻撃者にプッシュ通知を何度も送りつけられると、疲弊した利用者がうっかり承認してしまうリスクがありました。
一方、「耐フィッシング多要素認証」では、FIDO2フレームワークという、より強固な仕組みが採用されています。この仕組みにより、利用者はパスワードを入力する代わりに、生体認証やセキュリティキーを用いて認証を行うことが可能になります。これにより、プッシュ通知を承認するだけの従来の方法と比べて、セキュリティレベルを格段に向上させることができます。
攻撃 | 対策 | 特徴 |
---|---|---|
多要素認証消耗攻撃 | 耐フィッシング多要素認証 (FIDO2フレームワーク) |
従来の多要素認証では、攻撃者にプッシュ通知を何度も送りつけられると、疲弊した利用者がうっかり承認してしまうリスクがあったが、FIDO2フレームワークでは、生体認証やセキュリティキーを用いることでセキュリティレベルを格段に向上させている。 |
セキュリティ意識の向上が重要
昨今では、個人情報の流出や不正アクセスといったセキュリティに関する事件が後を絶ちません。こうした脅威から自身を守るためには、セキュリティ意識の向上が何よりも重要となります。
確かに、多要素認証のような強固なセキュリティ対策を導入することは有効です。しかし、残念ながら、どんな対策も完璧ではありません。今回ご紹介したように、巧妙な手口で認証を突破しようとする攻撃も存在します。
そのため、私たちは、常にセキュリティに対する意識を持ち続ける必要があります。安易に認証を突破するような要求に応じることなく、少しでも不審な点があれば、まずは冷静に状況を判断することが大切です。
特に、見覚えのない送信元からの通知や、普段とは異なる表示のウェブサイトには注意が必要です。アクセスする前に、本当に信頼できる相手からの通知なのか、正しいウェブサイトにアクセスしようとしているのかをしっかりと確認しましょう。
セキュリティ対策は、技術的な対策と、私たち一人ひとりの意識の両輪で成り立つものです。日頃からセキュリティに対する意識を高め、適切な行動をとることで、はじめて自身を守ることができるのです。
脅威 | 対策 |
---|---|
個人情報の流出、不正アクセス | セキュリティ意識の向上、多要素認証等のセキュリティ対策導入 |
巧妙な手口による認証突破 | 常にセキュリティに対する意識を持ち、不審な点があれば冷静に状況を判断する |
見覚えのない送信元からの通知、普段とは異なる表示のウェブサイト | アクセス前に信頼できる相手からの通知か、正しいウェブサイトかを確認する |