多要素認証疲労攻撃にどう立ち向かう? CISAが推奨する2つの実装方式
CISAは多要素認証の実装に関する2つのファクトシートを公開した。多要素認証は多くのケースで導入が推奨されているが、最近ではこれを悪用したサイバー攻撃が増加しており、組織には対処が求められている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2022年10月31日(現地時間)、多要素認証(MFA:Multi-Factor Authentication)に関する2つのファクトシートを公開した。ユーザーや組織に対し、公開したファクトシートのチェックと適用を呼び掛けている。
多要素認証を破る新手のサイバー攻撃にどう対処すべきか?
パスワードはシステムを保護する重要な要素であり、それゆえにサイバー攻撃で狙われやすい。そのため2つ以上の異なる認証要素(知っているもの、持っているもの、持っているもの)を組み合わせて提示することをユーザーに要求する多要素認証の併用がセキュリティを確保する上では非常に重要だが、最近は多要素認証を悪用した新たなサイバー攻撃が増加している。
サイバー攻撃者は多要素認証を逆手に取り、これを頻発させる新たなサイバー攻撃を開始している。ユーザーに繰り返し多要素認証を促し、ユーザーが誤って認証してしまうのを利用して攻撃を仕掛ける方法だ。一般的にこの攻撃は、多要素認証疲労攻撃(MFA疲労攻撃)と呼称される。多要素認証はその他、一部のフィッシングやプッシュボミング(プッシュ疲労攻撃)、SIMスワップなどの攻撃に脆弱(ぜいじゃく)だ。
CISAはこうした新手のサイバー攻撃に強い多要素認証を実現するために以下のファクトシートを公開した。この実装方式は「フィッシング耐性MFA」と呼ばれている。
CISAは上記のファクトシートに記載された実装が困難な場合、効果は劣るが「番号マッチングMFA」の実装も暫定的な緩和策として推奨している。番号マッチングMFAのファクトシートは以下の通りだ。
CISAはユーザーや組織に対し、多要素認証に関する次のドキュメントに関してもチェックを促している。
関連記事
- 大阪急性期・総合医療センターにランサムウェア攻撃 復旧のめど立たず
大阪急性期・総合医療センターがランサムウェアによるサイバー攻撃被害を発表した。この影響により電子カルテシステムで障害が発生しており、本稿執筆時点で復旧のめどは立っていない。 - VMware Cloud FoundationにCVSS v3スコア9.8の脆弱性 迅速にアップデートを
VMware Cloud Foundationに「緊急」の脆弱性が存在することが報告された。同脆弱性を悪用されるとシステムの制御権が乗っ取られる危険性があるとされ、注意が必要だ。迅速なアップデートの適用が求められる。 - OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース
OpenSSLプロジェクトは2022年11月1日にセキュリティアップデートバージョン「OpenSSL 3.0.7」を公開すると発表した。深刻度「緊急」(CRITICAL)の脆弱性に対処するとされており、リリース後には迅速なアップデートの適用が求められる。 - 世界でサイバーセキュリティ人材はどのくらい不足しているのか? (ISC)2が調査結果発表
(ISC)2はグローバルでのサイバーセキュリティ人材調査の結果を発表した。調査によれば、サイバーセキュリティの人材は増加している。しかし、それでも必要な人材の確保に追い付いていない実態が明らかにされている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.