Microsoft Authenticator 新機能で多要素認証疲労攻撃に対処:セキュリティニュースアラート
MicrosoftはAuthenticatorに異常なMFAリクエストの通知を抑制する新機能を追加した。これによりMFA疲労攻撃によるユーザーの誤操作リスクが低減されるものとみられる。
Microsoftは2023年11月6日(現地時間)、TOTPベースの認証アプリ「Microsoft Authenticator」に多要素認証(MFA)疲労攻撃を緩和する新機能を追加したと伝えた。
MFA疲労攻撃は、不正に入手したID/パスワードを使って複数回のログインを試行し、正規のユーザーに何度もMFAの認証要求を出す。頻繁に表示される通知に対してユーザーが誤って許可を出してしまうといったミスを狙っている。Microsoftが今回発表した新機能は、これを防ぐために、送信されたリクエストが見慣れない場所からだったり、異常が検出されたりした際に通知を抑制する。
MFA疲労攻撃の根本原因を断つ Authenticatorの新機能採用の背景とは?
MFAの導入はMicrosoftに限らず多くのセキュリティベンダーに推奨されており、セキュリティの観点からも非常に効果的な対策だ。だが、サイバー攻撃者もこれを突破するための新しい戦術を考案しており、その一つがMFA疲労攻撃だ。
Microsoftはこの攻撃に対応するために、Microsoft Authenticatorに「ナンバーマッチング」と呼ばれる機能を既に導入している。これはユーザーがログイン認証するタイミングでサインイン画面に表示される番号を入力しなければならないというもので、認証に一手間必要になることから、MFA疲労攻撃に有効とされている。
しかし同社によると、この機能は一定の成果は出ているもののMFA疲労攻撃による通知自体は減らせていないという。そのため今回の新機能では通知そのものを減らすことで、ユーザーの利便性を大幅に向上させる狙いがある。この機能を利用すれば、プッシュ通知はなくなるが、リクエスト自体はアプリが保持しているため、アプリを起動すれば認証処理を実行できる。
MFA疲労攻撃はユーザーの操作ミスを誘うものであるため防止が難しい面があった。今回、Microsoft Authenticatorアプリに導入された新機能によって、こうしたサイバー攻撃による被害を減らすことにつながるものとみられる。
関連記事
- 今どきのフィッシングは「レベルが違う」 私たちが引っ掛からないためにできること
2023年の不正送金額は1〜6月の上半期だけで過去最多を記録した。フィッシング対策に向けて銀行はどのような取り組みをしているのか、また引っ掛からないために、消費者ができることは何か。 - 「パスワードとIDの認証は破綻した仕組みだ」パスワードレスの未来はまだ遠い?
パスワードによる認証は最もメジャーなセキュリティ対策と言っても良いだろう。だが、この方法は根本的な欠陥を抱えている“破綻した仕組み”だ。 - やりがちなセキュリティのNG設定トップ10 CISAとNSAが共同発表
CISAとNSAはサイバーセキュリティの誤設定に関する共同アドバイザリを公開した。組織にありがちな10の誤設定とその対策について解説する。 - パスワードの使い回しはNGで“ちょっと変えても”意味がない ではどうする?
このコラムではパスワードの使い回しはNGだと口が酸っぱくなるまで言っています。では、ちょっと変更すれば問題ないのかというと、そうでもないようで……一体どうすればいいのでしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.