Microsoft Authenticator 新機能で多要素認証疲労攻撃に対処：セキュリティニュースアラート

MicrosoftはAuthenticatorに異常なMFAリクエストの通知を抑制する新機能を追加した。これによりMFA疲労攻撃によるユーザーの誤操作リスクが低減されるものとみられる。

[後藤大地，有限会社オングス]

　Microsoftは2023年11月6日（現地時間）、TOTPベースの認証アプリ「Microsoft Authenticator」に多要素認証（MFA）疲労攻撃を緩和する新機能を追加したと伝えた。

　MFA疲労攻撃は、不正に入手したID／パスワードを使って複数回のログインを試行し、正規のユーザーに何度もMFAの認証要求を出す。頻繁に表示される通知に対してユーザーが誤って許可を出してしまうといったミスを狙っている。Microsoftが今回発表した新機能は、これを防ぐために、送信されたリクエストが見慣れない場所からだったり、異常が検出されたりした際に通知を抑制する。

Microsoft AuthenticatorにMFA疲労攻撃を緩和する新機能が追加された（出典：MicrosoftのWebサイト）

MFA疲労攻撃の根本原因を断つ　Authenticatorの新機能採用の背景とは？

　MFAの導入はMicrosoftに限らず多くのセキュリティベンダーに推奨されており、セキュリティの観点からも非常に効果的な対策だ。だが、サイバー攻撃者もこれを突破するための新しい戦術を考案しており、その一つがMFA疲労攻撃だ。

　Microsoftはこの攻撃に対応するために、Microsoft Authenticatorに「ナンバーマッチング」と呼ばれる機能を既に導入している。これはユーザーがログイン認証するタイミングでサインイン画面に表示される番号を入力しなければならないというもので、認証に一手間必要になることから、MFA疲労攻撃に有効とされている。

　しかし同社によると、この機能は一定の成果は出ているもののMFA疲労攻撃による通知自体は減らせていないという。そのため今回の新機能では通知そのものを減らすことで、ユーザーの利便性を大幅に向上させる狙いがある。この機能を利用すれば、プッシュ通知はなくなるが、リクエスト自体はアプリが保持しているため、アプリを起動すれば認証処理を実行できる。

　MFA疲労攻撃はユーザーの操作ミスを誘うものであるため防止が難しい面があった。今回、Microsoft Authenticatorアプリに導入された新機能によって、こうしたサイバー攻撃による被害を減らすことにつながるものとみられる。