ニューノーマル処方箋(第64回)
ランサムウエアがビジネス化。「RaaS」の脅威
<目次>
・不正ログインを防ぐためには「多要素認証」が効く
・攻撃者は通知という"爆弾"を仕掛けてくる
・そもそもパスワードを使わないという対策もある
不正ログインを防ぐためには「多要素認証」が効く
インターネットサービスを利用する際、IDとパスワードの入力に加えて、プッシュ通知やOTP(ワンタイムパスワード)、指紋や顔認証による本人確認を求められるケースがあります。これは不正ログインを防ぐための「多要素認証」(MFA:Multi-Factor Authentication)と呼ばれる本人認証の仕組みです。
IPA(独立行政法人 情報処理推進機構)によると、本人認証の方法には、パスワードやPINコードなどの「記憶情報」、本人の端末に届くプッシュ通知などの「所持情報」、そして静脈や指紋、顔認証などの「生体情報」があります。これらのうち2つ以上を組み合わせて使用する認証方式を多要素認証と呼びます。
多要素認証の導入により、悪意のある第三者が不正に入手したIDとパスワードを使用しても、不正ログインを防ぐことが可能になります。
例えば、プッシュ通知を利用した所持情報による認証では、IDとパスワードが入力された後、ユーザーのスマートフォンに「サインインを承認しますか?」といった通知が届きます。この通知は本人のスマートフォンにのみ届くため、身に覚えのない通知が届いた場合は、承認せずに否認すれば、第三者による不正なアクセスを防げます。
多要素認証は不正ログイン対策として現在Yahoo! JAPAN、Apple ID、dアカウントなど、数多くのサービスに導入されています。プッシュ通知、OTP、指紋認証、顔認証といった多要素認証を、日常的に利用している人も多いのではないでしょうか。
多要素認証の仕組み(IPA「不正ログイン対策特集ページ」より引用)
攻撃者は通知という"爆弾"を仕掛けてくる
しかし多要素認証も、不正ログイン対策として完璧というわけではありません。攻撃者はさまざまな手段を使って、この堅固な多要素認証を突破しようと試みます。
その代表的な手法の1つが「多要素認証消耗攻撃」(MFA Fatigue Attack)です。これは、ID・パスワードを不正に入手した攻撃者が、本来のユーザーに対してしつこくログイン承認のリクエストを送り続け、ユーザーの誤操作を誘発して多要素認証を突破しようとする手法です。この攻撃は「MFA爆弾(MFA Bombing)」や「プッシュ爆弾(Push Bombing)」とも呼ばれています。
この攻撃の特徴は、承認のリクエストを"大量"に送るという点です。自身のスマートフォンに、身に覚えのないログイン承認を求めるプッシュ通知が届いた場合でも、通常なら適切に拒否できます。
ところが通知が何度も繰り返し届くと、ユーザーは正しい判断ができなくなり、誤って承認をしてしまう可能性があります。攻撃者は、こうしたユーザーの精神的な疲労によるヒューマンエラーを狙って、多要素認証の消耗攻撃を仕掛けてきます。
多要素認証消耗攻撃による被害も報告されています。2022年、米Uber社は攻撃者に多要素認証を突破され、複数の内部システムへのアクセスを許してしまう事態が発生したと発表しました。この事例では、攻撃者がUberの契約業者のアカウントに対してしつこくログインを試み、最初は通知をブロックしていた契約業者が、最終的にリクエストを承認したとされています。
また、2024年にはApple IDのユーザーを狙った多要素認証消耗攻撃が各メディアから報じられました。攻撃者はパスワードリセット機能を悪用してiPhoneユーザーに大量のプッシュ通知を送り付け、さらにApple社のサポートを装って電話を掛け、「あなたのIDが攻撃を受けています。端末に送付されたOTPを教えてください」と要求しました。このような手口でOTPを聞き出された場合、攻撃者にログイン権限を与えることになり、Apple IDを乗っ取られる危険性があります。
そもそもパスワードを使わないという対策もある
多要素認証消耗攻撃により認証を突破されると、ユーザーの銀行口座情報やクレジットカード情報を盗まれたり、企業が保有する個人情報などの機密情報が漏えいする危険性があります。対策の基本として、身に覚えのないログイン通知が届いた場合は、必ずそれを否認し、該当するIDのパスワードを直ちに変更することが重要です。
さらに、プッシュ通知の承認だけではログインできない仕組みの導入も有効な対策となります。例えばMicrosoftは、多要素認証消耗攻撃の対策として、ログイン時にスマートフォンへのプッシュ通知に加え、ログイン画面に表示される2桁の数値入力を要求する仕組みを導入しています。攻撃者は2桁の数値を確認できても、入力するためのスマートフォン端末が手元にないため、不正侵入を防止できます。
この他、パスワードそのものを使わない対策もあります。IPAが2024年2月に発表した「情報セキュリティ 10大脅威 2024」では、「パスキー」という、パスワードの代わりにスマートフォンの生体認証や画面ロックの解除を用いた"パスワードレス"な認証方式を紹介しています。
パスキーはパスワードを利用しないため、パスワードの漏えいを心配する必要がありません。多要素認証消耗攻撃はパスワードが攻撃の起点となるため、パスワードレスの認証方式の採用により、多要素認証消耗攻撃の防止も期待できます。
どれほど堅固なセキュリティ対策を実装しても、攻撃者は常にわずかな隙を狙って攻撃を仕掛けてきます。スマートフォンに不審な通知が届くような状況が発生した場合は、現在より一段階上のセキュリティ対策の導入を検討する必要があるかもしれません。
【TP】
あわせて読みたい記事
連載バックナンバー
ニューノーマル処方箋
- 第68回 大量の通知で多要素認証を突破する?ユーザーを消耗させる攻撃手口とは 2025.05.14
- 第67回 テレワークの長時間労働を抑える「境界マネジメント」6選 2025.05.13
- 第66回 パタハラにご注意!2025年4月より育児・介護休業のルールが改正 2025.05.12
- 第65回 暗号化しない新たなサイバー攻撃「ノーウエアランサム」とは 2025.05.09
- 第64回 ランサムウエアがビジネス化。「RaaS」の脅威 2025.05.02
- 第63回 セキュリティ機器の"抜け穴"は「ASM」で塞げる 2025.05.02
- 第62回 2019年から日本を狙いサイバー攻撃を続ける「MirrorFace」の脅威 2025.04.30
- 第61回 新人教育の定番「OJT教育」を効果的に実施する方法とは 2025.04.25
- 第60回 「セキュリティが速度を犠牲にする」は、過去の話? 2025.04.25
- 第59回 サイバー攻撃による被害を防ぐために、企業が考えるべきセキュリティのポイント 2025.05.13
- 第58回 1本の電話が大きなリスクに!? 実は怖い迷惑電話とその対策 2025.02.07
- 第57回 ビジネスケアラーが増加中。企業がすべき支援とは 2024.07.31
- 第56回 エコカーを導入すると、補助金がもらえる!? 2024.07.31
- 第55回 AIの「禁止事項」とは何か?AI事業者ガイドラインを読む 2024.07.31
- 第54回 トラックの運賃が上がる?国土交通省が「標準的運賃」を改定 2024.07.30
- 第53回 雇用調整助成金の新制度は「リスキリング」が重要 2024.07.30
- 第52回 文章生成AIの理想的な使用法とは?東京都がガイドラインを公開 2024.07.30
- 第51回 パスワードがなくても認証できる!「パスキー」とは 2024.07.30
- 第50回 若者世代は特に不調!?従業員のメンタルヘルスは大丈夫? 2024.07.24
- 第49回 小規模事業者に限定した補助金を受給する方法 2024.07.24
- 第48回 インボイスにも対応「IT導入補助金2024」を解説 2024.07.12
- 第47回 なぜだまされる?「特殊詐欺」を食い止める方法 2024.07.10
- 第46回 IPAが警告「遠隔操作ソフト」を使った詐欺の防ぎ方 2024.07.10
- 第45回 オフィスソフトは「買い切り型/クラウド型」どっちを選ぶ? 2024.06.28
- 第44回 医療機関を狙ったサイバー攻撃が増加中。どう防げば良いのか? 2024.06.28
- 第43回 自動車産業がサイバー攻撃に狙われている!?どう防ぐ? 2024.06.28
- 第42回 中堅企業も対象に。2024年度の「賃上げ税制」とは 2024.03.28
- 第41回 生成AIで作った文章・画像は、著作権法に違反していないのか? 2024.03.28
- 第40回 偽のセキュリティ画面に要注意!サポート詐欺の解決法 2024.03.28
- 第39回 ついに解禁 「Wi-Fi 7」は何が優れているのか? 2024.03.25
- 第38回 介護離職が増加中。仕事と介護を両立する方法とは 2024.02.27
- 第37回 「賃上げ」につながる価格交渉とは?公取委が公開 2024.02.27
- 第36回 非正規労働者の正社員化をサポートする助成金が拡充 2024.02.27
- 第35回 被害拡大中「フィッシング詐欺」の防ぎ方 2024.02.27
- 第34回 すべての通信を信用しない「ゼロトラスト」とは何なのか 2024.01.30
- 第33回 12月から社用車にもアルコールチェッカーが必須に! 2024.01.29
- 第32回 極地でも高速通信「スターリンク」の可能性 2024.01.26
- 第31回 IoTがサイバー攻撃を招く!?「ボットネット」の恐怖 2024.01.26
- 第30回 中小企業はどうやって価格交渉をすれば良いのか? 2024.01.25
- 第29回 「労働条件明示」のルールが変更。何が変わるのか? 2024.01.24
- 第28回 高齢化社会に適したビジネスとは?「2025年問題」を考える 2024.01.23
- 第27回 ゼロデイ攻撃はどう防ぐ? 2024.01.22
- 第26回 「スマート工場」でセキュリティ事故を防ぐためにはどうすれば良いか? 2024.01.19
- 第25回 2024年問題はどうすれば解決できるのか?厚生労働省が特設サイトを公開 2024.01.19
- 第24回 “事務作業の負担軽減”が新たな付加価値を生む 2023.09.20
- 第23回 製造業成長請負人が語る"デジタルな土壌"の作り方 2023.06.07
- 第22回 「ディフェンス重視」が、生き残る企業の条件になる 2023.03.30
- 第21回 「幻の日本酒」が安定供給できた裏にデータ活用あり 2023.03.30
- 第20回 可視化と分析でさらなる業務変革へ ビジネスプロセス改善の最新手法「プロセスマイニング」を解説 2023.03.30
- 第19回 バブル期京都でDX実現!24時間稼働の無人工場 2023.03.30
- 第18回 離職率が40%→10%に!一役買ったオンボーディング 2023.03.30
- 第17回 SaaSを使いこなして業務効率化、投資対効果を上げるクラウドサービスの選定・導入ガイド 2022.03.29
- 第16回 予防&万が一の速やかなデータ復旧で業務を止めない! ランサムウエアの被害を防ぐバックアップ6つのポイント 2022.03.29
- 第15回 シミュレーションの常識が劇的に変わる。リアルを超再現した「デジタルツイン」で一歩先行くビジネスを 2022.03.29
- 第14回 政府主導のプロジェクト例も解説、「農業DX構想」が描く農業の未来 2022.03.29
- 第13回 コロナ禍でも売り上げ30%増。地方工務店が進めたDX 2022.03.16
- 第12回 着物DXで経営を立て直した博多織五代目の「勝算」 2022.03.15
- 第11回 ドローン「免許制」で何が変わる?第一人者が解説 2022.03.15
- 第10回 年4億円コスト削減を達成した地方製造業のIoT活用術 2022.03.14
- 第9回 「小売業再建のプロ」が語る、利益率UPのヒント 2022.03.14
- 第8回 中小企業こそDXに向く。町工場・今野製作所の挑戦 2021.12.20
- 第7回 製造業がめざすべきDXのアプローチと未来の姿|「つながる工場」が変革へのカギに 2021.08.26
- 第6回 ワークマンを支える「Excel経営」とは?土屋専務に聞く 2021.08.25
- 第5回 日本版ワーケーション成功の合言葉は「ワクワク感」 2021.07.14
- 第4回 リスク対策のプロに聞く「儲かるBCP」とは 2021.03.10
- 第3回 その対策は効果ナシ! セキュリティの常識を検証する 2021.02.19
- 第2回 日本に必要なのは「問題児」。APU出口学長が語る 2021.01.20
- 第1回 成果が出るテレワーク、出ないテレワークの違いとは 2020.11.10