「多要素認証が破られた！」とならないために 認証強度を上げる6つのコツ：海外セキュリティリーダーからの提言（1/2 ページ）

多要素認証（MFA）は完璧なセキュリティ対策ではないが、ID／パスワードのみの単一要素認証に頼るよりはよほど効果的だ。だが、ただMFAを導入するだけでは不十分だ。バイパス事例などを踏まえて、MFAの強度を上げるコツを紹介する。

[Mark Goudie，CrowdStrike]

この連載について

　サイバー攻撃の手法は日々進化しており、多様化、巧妙化も著しい。また、その攻撃対象も大手企業だけでなく中小企業や社会インフラにまで広がっている。こうした状況に向き合うわれわれも常に情報をアップデートし、手法や対策の在り方の更新が求められる。いち早く攻撃者の動向を察知し、対策を検討するセキュリティソリューションベンダーはこの状況をどう見ているだろうか。

　本連載はサイバーセキュリティベンダーなどのリーダーに、最新のサイバー攻撃の動向やその防御の考え方、技術的な課題などを解説いただく。

　CrowdStrikeのインシデント対応チームは、サイバー攻撃者や、国家が支援する脅威アクターが関与しているセキュリティインシデントに対峙（たいじ）する組織を支援しています。

　インシデントには、ロックアンドリーク（※）型ランサムウェアによるものから、監視や諜報活動を目的として長期にわたり潜伏し、特権アクセスなどを永続的に確保することを狙うものまでさまざまなものが含まれます。

（※）ロックアンドリークは、ランサムウェアを使用して標的のネットワークを暗号化することでシステムをロックアップし、その後、攻撃者と連携する犯罪実行者が、被害者の情報を漏えいする。

「MFAの実装に向けて試験運用中」ではもう遅い

　これらのインシデントでは適切な権限のないグループによって正規リモートアクセスを悪用されるケースが最も多く、被害組織における経済的な損害は数百万ドルにも上ります。その根本原因の多くは、有効な認証情報（ユーザー名とパスワード）が標的とするネットワークへのアクセスを試みる脅威アクターに使用されていることにあります。

　では、不正アクセスに頻繁に悪用されるデバイスにはどのようなものがあるでしょうか。以下で、脅威アクターが標的とするデバイスを悪用される頻度順に並べました。

• ネットワークへのアクセス権を取得できるVPN
• インターネットに接続された「Windows」システムのリモートデスクトッププロトコル（クラウドを含む）
• インターネットに接続された「Linux」システムのSSHサーバ（クラウドを含む）

　CrowdStrikeは、上記のようなシステムを静的なユーザー名とパスワードのみ、つまり単一要素認証（SFA）で保護していたことによって致命的な侵害につながったケースを複数目にしてきました。また、多要素認証（MFA）が適切に強制・設定されていない組織の隙を狙い、脅威アクターがMFAをバイパスしていたケースの調査にも取り組んできました。しかしこうしたケースは前者と比較すると少数です。

　では、なぜSFAが狙われるのでしょうか。CrowdStrikeの経験則によると、その理由はSFAの特定がシステムへの不正アクセスの根本原因として最も一般的だからです。

　CrowdStrikeは、顧客に代わってインシデント対応を実施する際、状況を「トリアージ」することで最適な状態を確保し、ビジネスの迅速な復旧をサポートしています。顧客にリモートアクセスの手法を確認した結果、ユーザー名とパスワードのみの保護をするSFAを利用していることが判明した場合は、直ちにMFAを導入することでリスクを最小限に抑えることを推奨しています。

　セキュリティ対応範囲のスコープを定める際にもMFAの導入を推奨することがあります。インシデント後のフォレンジック調査で、脅威アクターがSFAを足掛かりにシステムに侵入したことが判明するケースが多く発生するためです。

　皮肉なことに、被害を受けた多くの組織から「MFAの実装に向けて試験運用中」「半年以内にMFAを実装するために予算を確保したばかり」などの声が聞かれます。試験運用や予算確保も大切ですが、組織を脅威から保護する力はありません。

MFAは完璧ではない　バイパスされた事例を紹介

　CrowdStrikeのインシデントレスポンスチームは、場所を問わずMFAを全てのユーザーデバイスに実装することを強く推奨しています。インシデントを回避したい企業は、先伸ばしすることなく今すぐMFAを実装しましょう。また、これを適切に実装することも同様に重要です。

　同チームはある組織で実装されていたMFAが脅威アクターにバイパスされたケースを調査したことがあります。その組織において、MFA登録の初期ログインは「Active Directory」のユーザー名とパスワードで保護されていました。ユーザーが携帯電話番号を登録し、登録された番号に2つ目の認証要素となるSMSが送信される、というものです。

　脅威アクターは恐らく、使用されていないアカウントに対してクレデンシャルスタッフィング攻撃（※1）を仕掛けることでこの手法を突き止めました。携帯電話番号を登録して2つ目の認証要素であるSMSを受信し、さらに入手した認証情報でVPNを介してこの組織の社内ネットワークにアクセスしたのです。

（※）流出したユーザーアカウント情報を使って、さまざまなサービスに対して自動ログインを試行し、不正アクセスを仕掛ける攻撃。

　この他、「MFA不要」として「例外」を適用することが被害につながっていることもあります。組織によっては一部のユーザーグループや個人ユーザーを例外扱いし、MFAを強制していません。これにはユーザビリティの向上や、MFAサービスが使用できない場合などに管理者による環境へのアクセスを確保する意図がありそうです。

　CrowdStrikeはこれまで、「MFAをバイパスする」アカウントが悪用されたインシデントに複数対応してきました。こうしたインシデントはしばしば、不正使用された認証情報を他のWebサイトで再利用しており、組織が被った損害は数百万ドルに上っています。

　CrowdStrikeのインシデントレスポンスチームによる別の調査では、国家支援型脅威アクターが侵入する企業のActive Directoryの構成をレビューしていることが確認されています。その目的は、MFAの例外が設定されたユーザーグループを探し当てて、脅威アクターの管理下にあるアカウントをMFAが免除されたグループに追加することです。

　その他、よく見られる手口としてはユーザーにプッシュ通知認証によるスパム攻撃を実行することでMFAをバイパスする方法が挙げられます。脅威アクターは、ユーザーに認証を承認するように求めるメッセージを繰り返し送信します（MFA疲労攻撃）。具体的にはユーザーのモバイルデバイスに対し、通知が承認されるまで短時間に何度もプッシュ通知を送り続けます。