保護されていないユーザー名とパスワードは、アカウント乗っ取り攻撃に対してほとんど防御力がありません。多要素認証(MFA)は、アクセス制御を強化するための事実上の標準となっています。
ほぼすべてのサイバーセキュリティガイドラインがMFAを推奨しているのには理由があります。Microsoftの調査によると、MFAを有効にすることで、自動化されたクレデンシャル・スタッフィングやフィッシング攻撃の99%以上を防ぐことができるとされています。
しかし、最良のMFA実装であっても、重大なギャップが残ります。それは、脆弱なパスワード、使い回しされたパスワード、漏洩したパスワードです。攻撃者がMFAを回避したり(ユーザーにプッシュ通知を承認させるなどして)バイパスした場合、これらの弱いパスワードが攻撃者のシステムへの鍵となってしまいます。
そのため、アイデンティティセキュリティには、堅牢なパスワード管理と、すべてのログインポイントでのMFAの両方を含む多層的なアプローチが必要です。
MFAのメリットは否定できません
なぜパスワードが今でも重要なのかを説明する前に、MFAがもたらす利点を簡単に振り返りましょう:
- 追加の障壁: 攻撃者がパスワードを盗んだり推測したとしても、ログインを完了するにはワンタイムコードや生体認証などの第二要素が必要です。
- フィッシング耐性: MFAトークンやプッシュ承認は、クレデンシャル収集攻撃の難易度を上げます。パスワードだけを盗んでも不十分です。
- 規制への対応: NISTなどの標準は、機密性の高いアカウントや価値の高いアカウントにMFAを推奨しています。導入することで金融、医療、政府などのコンプライアンス要件を満たすことができます。
- ユーザーの安心感: 従業員や顧客が、自分のアカウントがパスワードだけでなく複数の要素で保護されていると知ることで、信頼や利用意欲が高まります。
- コスト回避: MFAへの初期投資は、侵害による法的費用、インシデント対応、ブランド毀損などのコストを未然に防ぐことで十分に回収できます。
MFAだけでは危険が残る理由
MFAは強力ですが万能薬ではなく、バイパスされる可能性があります。MFAに頼りすぎることで、最も基本的な認証要素であるパスワードの管理が疎かになりがちです。多層防御は、各層が十分に機能してこそ成立しますが、パスワードはMFAチャレンジの入り口です。
そのパスワードが脆弱だったり、使い回されていたり、すでに攻撃者に知られている場合、攻撃者は侵入に一歩近づくことになります。
デバイスの紛失や故障、トークンの忘却、サービスデスクによるリセットなどで、パスワードのみのアクセスに戻ることもよくあります。強力なパスワードポリシーがなければ、こうした「緊急時」のシナリオが簡単な侵入口となります。また、ユーザーの行動はすぐには変わりません。MFAを導入してもパスワード教育を強化しなければ、ユーザーは弱いパスワードや予測しやすいパスワードを使い続ける傾向があります。
これは、最も強力な防御策の一つを損なうことになります。
さらに、MFA自体も攻撃対象となり得ます。SIMスワップ、MFAプロンプト爆撃、ヘルプデスク手順を狙ったソーシャルエンジニアリングなどの手法で、ユーザーやスタッフを騙して不正なログインを承認させることができます。
攻撃者がMFAを回避する5つの手口
- MFA疲労攻撃(MFAプロンプト爆撃とも呼ばれる)。短時間に大量のプッシュ通知を送りつけ、被害者が「とにかく止めたい」という理由で承認してしまうまで消耗させます。
- SIMスワップとSMS乗っ取り。 SMSベースのワンタイムコードを使うと、モバイルネットワーク攻撃により第二要素の制御が攻撃者に渡るリスクがあります。
- ヘルプデスクへのソーシャルエンジニアリング。 ロックアウトされたユーザーになりすまし、もっともらしい話でサポートスタッフを騙してMFAを無効化させたり認証情報をリセットさせます。例えば、最近のMGMリゾーツへの大規模ハッキングがその一例です。
- セッションハイジャックとトークン窃取。 クッキーやセッショントークンがマルウェアや中間者攻撃で盗まれると、パスワードもMFAもバイパスされてしまいます。
- バックアップ手段の悪用。 パスワード忘れ時の質問、リカバリーコード、メールによるリセットなどは、主要なMFAチャネルほど厳格でないことが多く、アカウントへの別ルートを作ってしまいます。
強力なパスワードとMFAの多層化
単一の対策だけですべての攻撃を防ぐことはできません。包括的なパスワード防御と、すべての重要なシステム(Windowsログオン、VPN、リモートデスクトップ、クラウドポータルなど)への堅牢なMFAを組み合わせることで、攻撃者が突破しなければならない複数の障壁を作ることができます。たとえ1つの層が突破されても、他の層が侵入を防いだり検知したりします。
防御を強化するために、以下のベストプラクティスを取り入れましょう:
- MFAを有効化: まだ導入していない場合は、ここから始めましょう。Specops Secure Accessのような、Windowsログオン、VPN、RDP接続を保護できるシンプルかつ効果的なMFAソリューションを検討してください。
- 最小文字数と複雑性の強制。 少なくとも15文字を要求しましょう。長さがブルートフォース攻撃に対する最良の防御となります。パスフレーズは、ユーザーに強力で長いパスワードを作らせる最良の方法です。
- 既知の漏洩クレデンシャルのブロック。 データ漏洩リストとリアルタイムで照合し、すでに流出したパスワードの使用を防ぎましょう。Specops Password Policyは、弱いパスワードの作成を防ぎ、4億件以上の漏洩パスワードをActive Directoryで継続的にスキャンします。無料トライアルを今すぐ予約。
- サービスデスクの保護。 Specops Secure Service Deskのようなソリューションは、サービスデスクに連絡してきた人の本人確認のために二次的なMFAチャレンジを強制します。
- 異常なログインパターンの監視。 パスワードとMFAのログを組み合わせて、見慣れない場所やデバイスからのログインなどの異常を検知し、必要に応じて追加認証を要求します。
MFAは不正アクセスのリスクを劇的に減らしますが、決して強力なパスワード管理の代わりにはなりません。
パスワードを重要なセキュリティ層として扱いましょう。長く、ユニークで、漏洩していないパスワードを維持するポリシーを徹底し、その上でMFAを第二の防御線として追加してください。
これらを組み合わせることで、組織とエンドユーザーをより安全に守る堅牢な認証戦略が構築できます。
MFAやパスワードセキュリティについてアドバイスが必要ですか?お問い合わせください。
スポンサー:Specops Softwareによる寄稿記事です。
翻訳元: https://www.bleepingcomputer.com/news/security/mfa-matters-but-it-isnt-enough-on-its-own/