多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　認証情報の窃取やネットワークへの不正侵入といったサイバー攻撃が過去2年で急増しているにもかかわらず、多要素認証（MFA）やパスワードレス認証といった強力なID認証手段の普及がなかなか進まない状況にある──米Microsoftはこのほど発表した報告書で、そんな実態に警鐘を鳴らしている。

　サイバー脅威に関するMicrosoftの四半期報告書によれば、同社のクラウドベースID管理サービス「Azure Active Directory（AD）」を使っている法人のうち、多要素認証やパスワードレス認証などの強力なID認証を実装していたのは、2021年12月の時点で22％にとどまった。

Microsoftのブログから引用

　攻撃者はそうした隙を突き、フィッシング詐欺メールやパスワード総当たりのブルートフォース攻撃、ソーシャルエンジニアリングなどあらゆる手段を使って認証情報を盗もうとする。「この1年の間にIDはセキュリティの主戦場になった。ユーザー認証をたった1つのパスワードのみに依存すれば、攻撃者に絶好の機会を与える」とMicrosoftは警告する。

　実際、Microsoftが2021年1月〜12月にかけてブロックしたAzure AD認証に対するブルートフォース攻撃は256億を超え、「Microsoft Defender for Office365」では357億通ものフィッシング詐欺メールを阻止したとしている。

　同社は1月下旬のブログでも、新手の手口を使った大規模フィッシング詐欺攻撃を検知したと伝え、多要素認証を設定していなかった組織で被害が広がったと伝えていた。

　この攻撃ではまず、フィッシングなどの手口を使って狙った組織の認証情報を盗み出し、侵害したアカウントを踏み台にして組織内で足掛かりを拡大する。続いてBYOD（私物端末の業務利用）を悪用して自分たちが制御するデバイスをその組織のネットワークに登録し、社内の相手や取引先などを標的に、さらなるフィッシング攻撃を仕掛けていた。

　こうした攻撃を受けたとしても、多要素認証を設定していた組織の大部分は、攻撃者が盗んだ認証情報を利用してデバイスやネットワークに不正アクセスする事態を阻止できていたという。一方、多要素認証を設定していなかった組織は、内部で攻撃が拡大していく展開を許していた。

　フィッシングは依然として、狙った組織に侵入するための最初の足掛かりとして利用されることが最も多いとMicrosoftは解説する。在宅勤務の増加で社内と社外の境界がシフトする中、攻撃表面は一層拡大しているという。

　「防御の観点からまずやらなければならないのは、認証情報の盗難や悪用、不正利用を防ぐことだ。これを防ぐ対策が欠かせない」（Microsoft脅威インテリジェンスセンターのクリストファー・グライヤーさん）。そうしたID関連の弱点に狙いを定める手口は、サイバー犯罪集団であれ、国家が関与する集団であれ、攻撃者の多くに共通しているという。

　多要素認証については、米国土安全保障省のサイバーセキュリティ機関CISAも、重要インフラを担う組織にとって必須の対策と位置付けている。

CISAの公式Webサイトから引用

　CISAによれば「単要素認証の使用」、つまり多要素認証を設定せずにユーザー名とパスワードだけで認証を通過させてしまうやり方は「サポート期限切れのソフトウェア使用」「デフォルトのパスワード使用」と並んで「とてつもなく危険な」バッドプラクティスに並ぶという。

　最近では多要素認証の突破を狙う手口も報告があり、攻撃の一層の高度化が予想される中、今後の展開を注視し続ける必要はある。それでも現時点で最低限の対策として、多要素認証が不可欠とされる状況は変わらない。