多様な働き方に対応した認証基盤の構築に向け、多くの企業で多要素認証の導入が進んでいる。だがこれを“導入するだけ”では不完全だ。イスラエルのセキュリティ企業が認証を回避する4つのケースを解説する。
この記事は会員限定です。会員登録すると全てご覧いただけます。
テレワークをはじめとした場所を選ばない働き方を実現する上で、デバイスの認証やID管理の問題は避けては通れない。多くの企業がこれに向け、自社で利用するSaaSのログイン時に多要素認証やシングルサインオン(SSO)を実装するが、これらの導入だけで「万全な認証基盤を構築できた」と考えるのは危険かもしれない。
イスラエルのセキュリティベンダーCyberArkの日本法人であるCyberArk Softwareは2021年10月8日、同社が「レッドチーム演習」を通じて得た「多要素認証を回避する最新攻撃手法」を紹介するオンラインイベントを開催した。同イベントでは、CyberArk Softwareのシャイ・ナハリ氏(Red Team Services バイスプレジデント)が多要素認証を回避する4つの攻撃手法を語った。
まずはナハリ氏が率いるレッドチームの役割を解説する。社内システムの脆弱(ぜいじゃく)性を評価する仕組みにはレッドチーム演習以外にも、脆弱性を評価し、検知して攻撃対象領域を把握する「脆弱性管理」や、一定の領域の脆弱性にフォーカスし、そこに攻撃が仕掛けられたときにどうなるかをデモを含めて検証する「ペネトレーションテスト」などがある。
Copyright © ITmedia, Inc. All Rights Reserved.