多要素認証(MFA)は、機密性の高いアカウントや認証情報を保護する上で最も優れたセキュリティ手法の一つとしてよく挙げられます。たとえパスワードが漏洩したり盗まれたりしたとしても、ハッカーはMFAという2つ目の認証方法がなければ、そのパスワードを使ってアカウントにログインすることはできません。しかし、MFAを効果的に機能させるには、適切かつ安全に設定する必要があります。そうでなければ、巧妙なサイバー犯罪者がMFAを回避する方法を見つけてしまう可能性があります。
セキュリティアドバイザリー会社Mitigaが8月24日水曜日に発表したレポートは、Microsoft 365を利用する組織に対する最近のビジネスメール詐欺キャンペーンを検証しています。Mitigaによると、攻撃者はMicrosoftの多要素認証の脆弱なデフォルト設定を悪用することで機密情報にアクセスできたとのことです。標的となった組織の担当者は不正行為を阻止できましたが、このインシデントは多要素認証の不適切な設定に関する警告となっています。
この攻撃では、サイバー犯罪者がシンガポール、ドバイ、カリフォルニア州サンノゼなど複数の場所から、組織の幹部の Microsoft 365 アカウントに不正にアクセスしました。
攻撃者は、中間者攻撃(AiTM)戦術を用いてユーザーのアカウントとメールボックスを侵害することに成功しました。AiTMの手法では、攻撃者は被害者とアクセス先のウェブサイトの間にプロキシサーバーを作成し、標的のパスワードとブラウザセッションCookieを取得します。
被害者のアカウントを保護するため、組織はMicrosoft Authenticatorアプリを通じてMicrosoft MFAを実装しており、これにより盗難された認証情報の使用は阻止されるはずでした。しかし、Mitigaによるさらなる分析の結果、被害者の知らないうちに別のAuthenticatorアプリが設定され、攻撃者が侵害されたアカウントを引き続き使用する手段を得ていたことが判明しました。
Microsoft MFAでは必ずしも2つ目の認証形式は必要ない
Mitigaによると、問題はMicrosoft MFAのデフォルト設定の脆弱性にあるという。この技術は、別のIPアドレスからリソースにアクセスしようとした場合、管理者権限の昇格を要求した場合、機密データを取得しようとした場合など、2つ目の認証形式を要求するタイミングを決定することで機能する。
Microsoft MFAは、アクティブなログインセッションのトークンを分析し、セッションが以前に承認されているかどうかを判断します。承認されている場合は、2番目の認証形式は必要ありません。ただし、Mitigaによると、この判断はMicrosoft認証エンジンによってのみ行われ、顧客が独自に設定することはできません。
レポートでは、Microsoft MFA が 2 番目の認証形式を要求しない決定が問題になる可能性がある 2 つの例を挙げています。
一例として、特権ID管理(PIM)機能があります。この機能により、管理者ユーザーは非管理者権限で作業を行い、必要に応じてPIMツールを使用して権限を昇格することができます。この場合、攻撃者はPIMを利用して、侵害された非管理者アカウントを管理者権限を持つアカウントに昇格させる可能性があります。
別の例として、Microsoftはアカウントプロファイルの「セキュリティ情報」セクションでユーザー認証方法にアクセスして変更する際に、2つ目の認証を求めていません。セッションで以前に認証されたユーザーは、新しい認証アプリを認証を求められることなく追加できます。Mitigaが指摘したインシデントにおいて、攻撃者は侵害されたアカウントを使い続けることができたのも、この仕組みのおかげです。
「AiTM攻撃の急速な増加(攻撃者が新たな認証方法を追加することで攻撃の持続性を確保できない状況下でも)を考えると、もはや多要素認証をアイデンティティ攻撃に対する主な防御策として頼りにすることは不可能であることは明らかです」とミティガは報告書の中で述べています。「物理デバイス、または従業員の承認済みノートパソコンやスマートフォンに紐付けた第三要素認証という形で、さらなる防御層を構築することを強くお勧めします。」
「Microsoft 365 は、登録済みの準拠デバイスのみで認証するという要件を追加することで、条件付きアクセスの一部としてこれを提供しており、これにより AiTM 攻撃を完全に防ぐことができます。」
MFAを悪用したAiTM攻撃を防ぐためのヒント
TechRepublic に送られた声明の中で、Microsoft の広報担当者は、多要素認証を悪用する AiTM 攻撃を阻止する方法についても推奨事項を示した。
「AitMフィッシングへの注意は重要です。ユーザーには、ウェブページへのリンクをクリックする際、不明なファイルを開く際、ファイル転送を受け入れる際など、オンライン上で適切なコンピューティング習慣を身につけていただくよう推奨します」と広報担当者は述べています。「Azure AD条件付きアクセスを使用して、許容リスクレベル、場所、デバイスのコンプライアンス、その他の要件に関する具体的なルールを設定し、攻撃者による新しい認証情報の登録を防ぐことをお勧めします。」
可能な限り、Windows Hello や FIDO などのフィッシング耐性のある認証情報の使用も推奨します。こうした攻撃からお客様を保護するため、Authenticator はコンテキスト情報を提供し、ユーザーの位置情報が不明瞭であることや、アプリが想定外のものである場合に警告を発します。
サイバーセキュリティ企業VectraのSaaS Protect担当CTO、アーロン・ターナー氏からもさらなるアドバイスが寄せられています。Mitigaが指摘した標的組織はMicrosoft 365の比較的脆弱なデフォルト設定を使用していたことを指摘し、ターナー氏は、MicrosoftはAiTM攻撃を阻止するソリューションを提供しているものの、その強化は必須であると主張しました。
そのために、組織は次の 3 つのガイドラインに従う必要があります。
- セルフサービス パスワード リセットでは、アカウント パスワードをリセットするために 2 要素の認証が必要であることを確認します。
- Microsoft Intune を通じて設定されたモバイル アプリケーション管理またはモバイル デバイス管理コントロールを通じてのみ、Microsoft Authenticator をインストールできるようにします。
- 条件付きアクセス ポリシーを設定して、管理対象アプリケーションまたは管理対象デバイスからのみ Microsoft Authenticator が動作できるようにします。
「今回のケースでは、こうした対策を組み合わせれば被害組織は保護されていたはずです」とターナー氏は付け加えた。「国家レベルの攻撃者によって、これらの対策さえも回避される可能性があることが分かっています。そのため、高度な攻撃者によってもたらされるリスクを軽減するには、適切な検知・対応能力への投資が不可欠です。」
