CISAは多要素認証の実装に関する2つのファクトシートを公開した。多要素認証は多くのケースで導入が推奨されているが、最近ではこれを悪用したサイバー攻撃が増加しており、組織には対処が求められている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2022年10月31日(現地時間)、多要素認証(MFA:Multi-Factor Authentication)に関する2つのファクトシートを公開した。ユーザーや組織に対し、公開したファクトシートのチェックと適用を呼び掛けている。
パスワードはシステムを保護する重要な要素であり、それゆえにサイバー攻撃で狙われやすい。そのため2つ以上の異なる認証要素(知っているもの、持っているもの、持っているもの)を組み合わせて提示することをユーザーに要求する多要素認証の併用がセキュリティを確保する上では非常に重要だが、最近は多要素認証を悪用した新たなサイバー攻撃が増加している。
サイバー攻撃者は多要素認証を逆手に取り、これを頻発させる新たなサイバー攻撃を開始している。ユーザーに繰り返し多要素認証を促し、ユーザーが誤って認証してしまうのを利用して攻撃を仕掛ける方法だ。一般的にこの攻撃は、多要素認証疲労攻撃(MFA疲労攻撃)と呼称される。多要素認証はその他、一部のフィッシングやプッシュボミング(プッシュ疲労攻撃)、SIMスワップなどの攻撃に脆弱(ぜいじゃく)だ。
CISAはこうした新手のサイバー攻撃に強い多要素認証を実現するために以下のファクトシートを公開した。この実装方式は「フィッシング耐性MFA」と呼ばれている。
CISAは上記のファクトシートに記載された実装が困難な場合、効果は劣るが「番号マッチングMFA」の実装も暫定的な緩和策として推奨している。番号マッチングMFAのファクトシートは以下の通りだ。
CISAはユーザーや組織に対し、多要素認証に関する次のドキュメントに関してもチェックを促している。
Copyright © ITmedia, Inc. All Rights Reserved.