多要素認証を回避する高度なフィッシングに要注意 その悪質な手法とは?:Cybersecurity Dive
フィッシングキャンペーンの長期にわたる有効性と成功は、サイバーセキュリティにおける最も根本的な課題である。それは、セキュリティを構成する要素として最も脆弱なのは人間だということを示している。
IBM Security X-Forceは2024年10月1日(現地時間)に発表した最新のレポート「Cloud Threat Landscape」で(注1)、「クラウド環境に対する攻撃の主要な初期侵入経路はフィッシングである」と述べた。IBMの最新の調査結果は、インシデント対応企業やサイバーセキュリティベンダーによるフィッシングのまん延と影響に関する最近の他の調査と一致している。
多要素認証を回避する高度なフィッシングに注意せよ
IBM Security X-Forceによると、脅威グループがシステムやネットワークにアクセスするための認証情報を収集する目的で使用するフィッシングは、2022年6月までの2年間に発生したクラウド関連のインシデントの3分の1を占めていた。
IBM Security X-Forceは、脅威グループがフィッシングメールを使用して受信者をだまし、悪質なWebサイトでログイン情報を入力させ、中間者攻撃(AITM:Adversary-In-The-Middle)を頻繁に仕掛けていると発見した。AITMフィッシングは、
多要素認証(MFA)の一部を回避する効果を持つフィッシング攻撃の高度な形態であるという。
フィッシングキャンペーンの長期にわたり有効性を保ち、攻撃行動を成功させたことは、サイバーセキュリティにおける最も根本的な課題を浮き彫りにしている。それは、セキュリティを構成する要素の中で人間が最も脆弱(ぜいじゃく)な部分であり、認証情報が問題の根源であるということだ(注2)。
テキストメッセージや電子メールにあるリンクをクリックする前に、慎重に考えるよう(重要情報にアクセス可能な)プロフェッショナルを訓練する業界は多い。それにもかかわらず、フィッシングは毎年のように最も効果的な攻撃手法の一つとなっている(注3)。
最終的に組織は攻撃から自社システムを防御する責任を負っている。
過去2年間に発生したクラウドに関連するインシデント全体の28%で、有効な認証情報が初期の侵入経路として使用されていた。IBM Security X-Forceによると、公開済みのアプリケーションの脆弱性の悪用は初期侵入経路のうち3番目に多いものであり、クラウド侵入の22%を占めているという。
脅威グループが目的を達成するために取る主要な行動は、この問題をさらに強調している。IBM Security X-Forceによると、過去2年間のインシデント対応のうち5件に2件はクラウドにホストされた「Active Directory」のサーバの悪用によるビジネスメール詐欺攻撃が関与しており、これが最も一般的な目的達成の手段となっている。
IBM Security X-Forceの研究者は「AITMフィッシング攻撃を使用してMFAを回避する場合、ターゲットと正規のサービスの間にはプロキシサーバが配置され、攻撃者は、被害者が悪質なページで認証セッションを実施した後に生成される認証情報とトークンを収集する」と述べた。
このレベルのアクセスが許可されると、脅威グループは侵害されたアプリケーション内で自由に行動できる。このような場合、クラウドリソースが同じ企業の認証情報を共有していると、その影響で他のシステムにも侵害が広がることが多いと報告書は指摘した。
いかなる形式であれMFAが単一の要素による認証よりも優れていることについて(注4)、サイバーセキュリティの専門家や当局は異論を持っていない。しかしMFAを導入している環境でも絶え間ない攻撃が続いている現状は、MFAの防御が崩れる可能性があることを示している(注5)。
フィッシングに対する耐性を持つMFAは(注6)、ユーザーの操作を制限または排除することで、フィッシング攻撃に対する企業の防御の強化を目指している。これらの高度な認証方式は、秘密鍵と公開鍵、Web Authentication API仕様、バイオメトリクス、FIDO2標準などの暗号技術を基盤とするさまざまな形式で提供されている。
(注1)X-Force Cloud Threat Landscape Report 2024(IBM)
(注2)Security has an underlying defect: passwords and authentication(Cybersecurity Dive)
(注3)Phishing, king of compromise, remains top initial access vector(Cybersecurity Dive)
(注4)Multifactor authentication has its limits, but don’t blame the technology(Cybersecurity Dive)
(注5)Multifactor authentication is not all it’s cracked up to be(Cybersecurity Dive)
(注6)What is phishing-resistant multifactor authentication? It’s complicated.(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
世界中のLinuxサーバを狙うステルス型マルウェア「perfctl」が登場 検出方法は?
Aqua SecurityはLinuxサーバを標的にする新しいステルス型のマルウェア「perfctl」を発見した。perfctlはシステム内で自身を隠蔽する高度な能力を持っており、システム管理者らの検出を回避する動きを見せるという。
「なぜかファイルがごみ箱行きに……」 MicrosoftがWordのバグを報告
Microsoftは、Word for Microsoft 365で特定の条件を満たす場合、保存後にファイルが削除される問題が発生したと報告した。この現象については調査中であり、暫定対応策が提示されている。
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。