「多要素認証が破られた！」とならないために 認証強度を上げる6つのコツ：海外セキュリティリーダーからの提言（2/2 ページ）

[Mark Goudie，CrowdStrike]

MFAはただ導入するだけでは不十分　強度を上げるためにすべき6つのコツ

　MFAは完璧ではないものの賢い構成で強度を上げれば、深刻な被害をもたらす攻撃の被害者になるリスクを最小限に抑えられます。MFAをインターネットでビジネスを実施する際の必要経費とみなし、全てのユーザーに対して平等に強制して例外を生まないことが重要です。

　しかしMFAだけでセキュリティのあらゆる問題が解決できるわけではありません。しっかりとした研修を受けたセキュリティチームや定期的な評価テストによる堅牢（けんろう）なプロセス、あらゆるIT資産に対する脅威を漏れなく可視化するテクノロジーなどを含む包括的なセキュリティプログラムでMFAを補う必要があります。

　MFAの実装は初期対策として最適ですが、インシデントの多くはちょっとしたミスや不備から生まれます。MFAは不正アクセスを防ぐ優れた手法ですが、あらゆるインフラストラクチャと同様、適切に設定して管理すべきでしょう。このとき、検討すべき点は以下の通りです。

1．MFAとVPNの基盤となるインフラストラクチャの安全性を見直す

　利用中のVPNやMFA、ホストインフラストラクチャのいずれかに悪用されかねない脆弱性はないでしょうか。インフラストラクチャの脆弱性を悪用して自身のアカウントをMFAやVPNに直接追加するのは、高度な脅威アクターに共通する手口です。

　こうした脆弱性の悪用はネットワークの「内部」で起こります。ネットワークにアクセスできる脅威アクターが、自身のアカウントを追加する理由は何でしょうか。その理由は、自身の存在が発見された場合でもアクセス権を維持できること、または組織の日常業務にまぎれて活動できることが挙げられます。チームの一員を装う脅威アクターを検出することは、インフラストラクチャの脆弱性を悪用して攻撃を仕掛ける脅威アクターを検出するより困難です。

2．「MFAをバイパス」するActive Directoryグループに注意する

　VPNやMFAのプロセスでよく悪用されるものとしては「MFAをバイパス」するActive Directoryグループが挙げられます。多くの組織は、堅牢性と安全性の高いMFAインフラストラクチャをVPNなどのリモートアクセス技術用に構成し、その後Active Directoryに「MFAをバイパス」するグループを作成します。

　グループ内のアカウントは、認証時にMFAプロセスを求められません。多くの場合、脅威アクターは以下のようなコマンドを発行して「MFAをバイパスする」グループ内のメンバーリストを取得します。脅威アクターがこうしたアカウントの認証情報を取得済みであれば、MFAデバイスがなくてもログイン可能です。

> net group "MFA bypass" /domain

3．安全対策が不十分な認証情報を適切に保管する

　CrowdStrikeが最近対応したレッドチーム演習では、管理者が「緊急用」として作成し、安全対策が不十分なまま保管されていた認証情報を特定することで、クライアントネットワークにリモートアクセスすることに成功しました。

　この攻撃手法は、多くの脅威アクターに利用されており、CrowdStrikeのインシデント対応チームはこの攻撃に複数のバリエーションがあることを観測しています。あるケースでは、パッチが適用されていないVPNの脆弱性を悪用して、MFAを免除された「緊急用」アカウントを窃取し、管理者が気付かないうちに日常的なアクセス経路として使用されていました。

4．自社で利用しているVPNを把握する

　脅威アクターが未知のVPNを使用してSFAを悪用したケースも観測されています。CrowdStrikeが観測した事例を紹介すると、ある企業は非常に大規模なネットワークを構成していましたが、VPN上に不正使用された複数のSFAアカウントが見つかりました。

　その企業は当社の勧めによってこのVPNにMFAを実装し、強制しました。しかしIT部門が関知していないところで既にVPNを実装していたビジネスユニットがあった他、脅威アクターがこのデバイスを既に特定し、MFAが正規デバイスに強制されると、シャドーITのVPNを介してクライアントネットワークにログインし始めました。

　この顧客は幸運なことに、シャドーITのVPNをシャットダウンすることで事態を収拾できました。さらに、社内ネットワークとインターネットの境界でネットワークスキャンを実行することで、脅威アクターがセットアップしたVPNを追加で2台発見しましたが、こちらも適切な措置が講じられました。VPNは1つとは限りません。現状を検証することが大切です。

5．誤った仮定や思い込みを捨てる

　多くのインシデントの根本原因は、誤った仮定や思い込みです。攻撃を受けて初めてその間違いに気付くことにならないように、信頼できるレッドチーム演習で検証することが重要です。

　特に被害が深刻なセキュリティインシデントには、根本原因が思い込みである場合があります。自社のリモートアクセスインフラストラクチャが安全であるという確信がある企業は、信頼できるレッドチーム演習でテストし、その自信が本物かどうか検証しましょう。

6．SFAの時代は終焉（しゅうえん）を迎えている

　SFAが効果的なセキュリティ対策であった時代はとうに終わりましたが、MFAが万能かというとそうとは言えません。企業にはソフトウェアや基盤となるインフラストラクチャ、プロセス、従業員を確実に保護する責任があります。

　世間で報告されているインシデントの多くは「MFAをバイパス」するActive Directoryグループを悪用する手法が使われています。これだけでなく、本稿でこれまで挙げてきたさまざまなポイントに注意しましょう。最後に、ご自身の思い込みを検証することをお勧めします。CrowdStrikeのインシデントレスポンスチームは、自社環境の検証結果を目の当たりにして「信じられない」と話す多くの顧客を見てきました。

執筆者紹介：CrowdStrike　プロフェッショナルサービス担当シニアディレクター　マーク・ガウディ（Mark Goudie）氏

マーク・ガウディ氏は、CrowdStrikeのアジア太平洋および日本地域を統括するプロフェッショナルサービス担当ディレクターです。インシデント対応担当者やプログラマー、セキュリティ担当マネージャー、ネットワークエンジニアとして20年以上の実績を有し、CrowdStrikeではインシデント対応や侵入者のハンティング、ネットワークのセキュリティ対策、耐障害性に優れたインフラストラクチャの構築を通じて、アジア太平洋、欧州、米国地域の顧客をサポートしています。