MFAへのハッキング

MFA(多要素認証)が、資格情報ベースにしたサイバー攻撃に対して有効ということがわかってきており、多くの組織でMFAの導入が進んでいます。MFAの導入が進んだことで、攻撃者はMFAへのハッキングやその回避するような技術を生み出すようになりました。

攻撃者が使う、5つのMFA回避手法

ここでは、主に5つの攻撃手法とその概要をご紹介します。より具体的な内容やその対策までご興味がある方は、右にある資料内でご確認いただけます。

■セッションハイジャック

セッションハイジャックでは、攻撃者がセッションIDの情報を入手することによって、Webアプ リ上またはブラウザー上のクライアントのセッションに侵入します。IDは、技術的な抜け穴を 狙ったり、悪意あるURLへアクセスさせることによって盗み出されます。

■SIMスワップ攻撃

携帯電話のサービスプロバイダーは、既存の携帯電話番号を他のSIMに割り当てられた 電話番号に自動的に変えることができる機能を提供しています。通常このサービスはユー ザーが携帯電話端末を紛失した場合、または新しい通信キャリアへ乗り換えた場合に使 われます。攻撃者は、サービスプロバイダーに別のSIMに保有している電話番号やSIM内 部の情報を転送しようとしている一般の顧客のふりをして接触します。

■インジェクション攻撃

インジェクション攻撃とは、プログラムの脆弱性などを利用した攻撃です。例えば、攻撃者 が悪意あるコードやURLを開発者が用意したフィールドに入力します。この情報はコマンド の一部の情報として解釈することができ、アプリケーションの実行パスが変更されます。

■ブルートフォース攻撃

多くの多要素認証の方式では、PIN番号や認証コードを入力しますが、この方法では認 証が成功するまで認証コードの様々な組み合わせを試行します。

■フィッシング

フィッシングは、偽のウェブサイトでユーザーを欺き、ユーザー名やパスワードなどのセキュリ ティ項目へ回答するよう誘導します。この方法では、ユーザーはアカウントを持っている一 見信頼できそうなアプリケーションからメールが送られてきます。メール内のURLから、ユー ザーを偽サイトへと誘導します。偽サイトはオリジナルサイトとの違いがわからないような見た 目になっています。 ユーザーは自らの資格情報でログインし、セキュリティ上の質問への回答などを入力するよ うに求められます。攻撃者はこの情報を使ってユーザーアカウントにログインし、多要素認 証を完了させ、アプリケーション内に保存されたデータを不正利用します。

以上が、よく使われる5つの攻撃手法とその概要になります。 より詳しい内容は、右のボタンよりダウンロードいただけるeBook内にてご紹介しております。

FBIが推奨する多要素認証のハッキングを防ぐためのセキュリティ対策

ダウンロード down-arrow