多要素認証でフィッシング攻撃を防ぐ方法

アフィリエイトリンクまたはスポンサーシップを通じて、ベンダーから収益を得る場合があります。これにより、サイト上の商品配置が影響を受ける可能性がありますが、レビューの内容には影響しません。詳細は利用規約をご覧ください。

多要素認証を実装して、自分自身と機密情報をフィッシング攻撃から保護する方法を学びます。

フィッシングは、あらゆる組織のサイバーセキュリティシステムにおける最も脆弱な部分、つまり人間の行動を悪用します。フィッシング攻撃は通常、メールを介して行われますが、テキストメッセージや電話を利用した攻撃も一部で見られるようになってきました。

最も一般的なシナリオは、例えば人事部やIT部門を装ったメールが届くというものです。一見、他の企業からのメールと変わりません。メールには、リンクをクリックするか添付ファイルを開いて、個人情報やITプロファイルを更新するよう促す内容が書かれています。そして、実際に入力すると、生年月日、氏名、社会保障番号、パスワードといった個人情報を入力するよう指示されます。

これにより、悪意のある人物がアカウントを乗っ取って個人情報を盗むことが可能になり、また、会社全体を IT システムから締め出すランサムウェア攻撃の初期段階となる可能性もあります。

KnowBe4の2024年版グローバルフィッシング業界ベンチマークレポートによると、従業員の3人に1人、つまり組織の従業員の34.3%が悪意のあるフィッシングメールに遭遇する可能性が高いことが示されています。フィッシング詐欺対策のトレーニングを90日間実施した後でも、模擬フィッシングテストに不合格となる従業員は18.9%にとどまります。フィッシング対策とセキュリティに関するトレーニングを1年間実施した後では、この数値は4.6%、つまり約5%にまで低下します。

言い換えれば、フィッシング攻撃による侵入を完全に排除できる組織はまずないでしょう。だからこそ、すべての組織が多要素認証を導入する必要があるのは明らかです。

セムペリス

企業規模

企業規模ごとの従業員数

マイクロ（0～49）、スモール（50～249）、ミディアム（250～999）、ラージ（1,000～4,999）、エンタープライズ（5,000以上）

小規模（従業員50～249名）、中規模（従業員250～999名）、大規模（従業員1,000～4,999名）、エンタープライズ（従業員5,000名以上）小規模、中規模、大規模、エンタープライズ

特徴

高度な攻撃検出、高度な自動化、どこからでも復旧など

ManageEngine Log360

企業規模

企業規模ごとの従業員数

マイクロ（0～49）、スモール（50～249）、ミディアム（250～999）、ラージ（1,000～4,999）、エンタープライズ（5,000以上）

小規模企業（従業員数0～49名）、小規模企業（従業員数50～249名）、中規模企業（従業員数250～999名）、大規模企業（従業員数1,000～4,999名）、エンタープライズ企業（従業員数5,000名以上）小規模企業、小規模企業、中規模企業、大規模企業、エンタープライズ企業

特徴

アクティビティ監視、ブラックリスト、ダッシュボードなど

グレイログ

企業規模

企業規模ごとの従業員数

マイクロ（0～49）、スモール（50～249）、ミディアム（250～999）、ラージ（1,000～4,999）、エンタープライズ（5,000以上）

中規模企業（従業員数250～999名）、大規模企業（従業員数1,000～4,999名）、エンタープライズ企業（従業員数5,000名以上）中規模企業、大規模企業、エンタープライズ企業

特徴

アクティビティモニタリング、ダッシュボード、通知

多要素認証の仕組み

認証情報を盗むフィッシング攻撃に対する最善の防御策の一つは、MFAです。MFAは、アクセスを許可されるために個人が実行しなければならない追加の手順を課します。そのため、サイバー犯罪者がアカウントに侵入したとしても、アクセスに必要な追加の要素がないため、被害を及ぼすことは不可能です。

MFA は、認証プロセスに次のようないくつかの追加のセキュリティ要素を導入します。

知っていること：パスワードまたは PIN。
コードを受け取るための電話、USB ドライブ、または電子メールなど、お持ちのもの。
あなた自身を表すもの：指紋または顔認識。

MFA では、認証用の二次コード共有デバイスや生体認証ツールを用意することで、資格情報の窃盗犯がセキュリティ要素を突破することが困難になります。

誰かが悪意のあるリンクをクリックして認証情報が盗まれた場合、MFA は、SMS、電子メール検証、認証アプリ経由など、脅威の実行者がアクセスできない別の検証ポイントを提供します。

エンドユーザーにとっては、デバイスやノートパソコンで生体認証情報を入力するか、テキストメッセージやスマートフォンの認証アプリでコードを受信する必要があることを意味します。これは通常数秒しかかかりません。唯一の問題は、コードの受信に遅延が生じる場合です。

ただし、脅威アクターはMFA認証情報を侵害する方法を見つけ出すことで、攻撃の手口を巧妙化させていることに留意してください。サイバーセキュリティ・インフラセキュリティ庁（CISA）の警告によると、

広く使用されているフィッシング手法では、脅威アクターが標的にメールを送信し、ユーザーを、企業の正規のログインポータルを模倣した、脅威アクターが管理するウェブサイトにアクセスするよう誘導します。ユーザーはユーザー名、パスワード、そして携帯電話の認証アプリから取得した6桁のコードを入力します。

CISAは、フィッシング攻撃に対するクラウドセキュリティ全体を強化する方法として、フィッシング耐性のあるMFAの使用を推奨しています。これを実現するにはいくつかの方法があります。

ビジネスに最適なMFAソリューションの選択

あらゆる種類のMFAは、クラウド内のデータをフィッシング攻撃から保護するのに役立ちます。コンシューマーグレードのMFAは、テキストメッセージで送信されるコードを使用します。しかし、脅威アクターはユーザーを騙してこれらのコードを共有させる方法を見つけ出しています。さらに、ユーザーはすべてのアプリケーションとデバイスでMFAを設定しなかったり、MFAを完全に無効にしたりすることで、脆弱な状態になる可能性があります。

したがって、組織はフィッシング耐性のあるMFAを採用し、2層以上の認証レイヤーを組み込むことで、サイバー攻撃に対する高度な保護を実現する必要があります。MFAの候補に求められる機能は以下のとおりです。

コード共有

コードシェアは、携帯電話にテキストメッセージを送信するか、そのデバイスの認証アプリにコードを送信することで機能します。コードシェアだけでは十分ではありませんが、良いスタートとなります。

オンラインでの迅速なID

Fast ID Online (FIDO) は、別々のキーでデータを暗号化および復号化する非対称暗号化技術を活用します。FIDO 認証は、個別の物理トークンを使用するか、ノートパソコンやモバイルデバイスに埋め込まれた認証デバイスを使用するかの 2 つの方法のいずれかで機能します。

NFC

NFC（近距離無線通信）は、携帯電話、USBデバイス、フォブなどの物理的なセキュリティキーに埋め込まれた短距離無線技術を利用します。一部の方法では、スマートカードに埋め込まれたセキュリティチップを使用する場合もあります。

参照: Linux のセキュリティ保護ポリシー (TechRepublic Premium)

推奨されるMFAソリューション

利用可能なエンタープライズグレードの MFA ソリューションはいくつかあります。

ピンワンMFA

PingOne MFAは、ワンタイムパスワードや生体認証といった標準的なMFA機能に加え、動的なポリシーを活用します。これにより、IT部門は認証プロセスを最適化し、ビジネスアプリケーションに認証を統合することができます。クラウドベースのMFAサービスであるPingOne MFAは、複数の要素を組み合わせることで、より強力な認証を実現します。例えば、ユーザーにスマートフォン上で生体認証指紋のスキャンを求めるといった具合です。

シスコデュオ

Cisco Secure Access by Duoは、すぐに使用できる多数の統合機能、シンプルな登録プロセス、そして便利なプッシュ認証機能を提供します。最も広く導入されているMFAアプリケーションの1つであり、使いやすさとセキュリティのバランスが取れています。Cisco Secure Access by Duoは、OneLogin、Okta、AD、Pingなどの一般的なIDプロバイダーと連携します。

IBM セキュリティ検証

IBMのMFAは、多くのIBMセキュリティツールおよびIBM製品と統合されているため、IBMツールを愛用する企業にとって最適な選択肢となります。クラウド版とオンプレミス版の両方が用意されており、アダプティブ・アクセスとリスクベース認証も備えています。IBM Security Verifyは、ほとんどすべてのアプリケーションでMFAを有効化でき、設定もほとんど必要ありません。現在、メールOTP、SMS OTP、時間ベースのOTP、音声コールバックOTP、FIDO認証などを第二要素としてサポートしています。

記事をシェア