Microsoftの多要素認証(MFA)システムに存在する脆弱性により、数百万のアカウントが不正アクセスの危険にさらされていました。
この欠陥が悪用されると、攻撃者は第2の認証レイヤーを回避し、Outlook、OneDrive、Teams、Azure Cloudなどのサービスにアクセスできる可能性がありました。世界で4億を超えるOffice 365の有料アカウントが存在することから、潜在的な影響は重大です。
この回避手法は、必要な時間と労力が最小限で、わずか1時間で実行可能でした。ユーザーの操作は不要で、アカウント保有者に警告も出ませんでした。Oasis Security Researchチームが発見した後、この問題はMicrosoftに報告され、セキュリティ上の不備に対処するための協力的な取り組みにつながりました。
欠陥の技術的詳細
この脆弱性は、MFAで使用される時間ベースのワンタイムパスワード(TOTP)システムの弱点に起因していました。Microsoftの実装では、レート制限の仕組みが不十分だったため、攻撃者が6桁コードを繰り返し推測できてしまいました。コードの有効時間は標準の30秒よりはるかに長い3分間のウィンドウで維持され、攻撃成功確率を大幅に高めていました。
複数のセッションを高速に開始し、総当たり攻撃を実行することで、攻撃者は70分以内に50%を超える成功率を達成できました。特筆すべきは、この攻撃手法が目立たずに動作し、ユーザーが侵害の進行に気づかない点です。
「MFAが侵害されると、セキュリティツールから重大な攻撃ベクターへと一気に変わります」 と、Keeper SecurityのCISOであるJames Scobey氏は説明しました。
「Office 365の有料ユーザー4億人のアカウントにアクセスできれば、悪意ある者は最も価値の高いシステムやデータを見つけるために、気付かれずに偵察を行えるでしょう。将来の認証を回避するために、リバースシェルなどの追加の隠れた侵入経路を仕込み、root権限でのアクセスを得ることも可能になります。」
Microsoftは、Oasisによる脆弱性の開示を受けて迅速に対応しました。暫定的な修正は2024年7月4日に展開され、より厳格なレート制限を含む恒久的な解決策は2024年10月9日までに実装されました。
堅牢な多要素認証システムの重要性について詳しく読む: Google Cloud、2025年までに多要素認証を義務化へ
MFAを利用する組織への教訓
この特定の欠陥は解消されたものの、本件は警戒の必要性を浮き彫りにしています。セキュリティ専門家は次を推奨しています:
-
可能な限りMFAを使用する(依然として重要な防御レイヤーであるため)
-
不審な活動を検知するため、第2要素認証の失敗試行に対するアラートを設定する
-
脆弱性を特定して解消するため、セキュリティ設定を定期的に見直し、更新する
「MFAは資格情報だけの利用よりは優れていますが、最先端のセキュリティ対策ではなく、組織にとっての最低限許容される実践と捉えるべきです」 と、MimotoのCEOであるKris Bondi氏は説明しました。「MFAが想定どおりに動作している場合でも、特定の時点におけるエンドポイントを検証しているにすぎず、正しい人物であることを確認しているわけではありません。」
SectigoのシニアフェローであるJason Soroko氏もBondi氏の指摘に同調し、共有シークレットに基づく認証システムは本質的に脆弱であると付け加えました。
「組織はパッチを適用し、時代遅れのMFAソリューションへの依存を見直すために行動しなければなりません」 とSoroko氏は述べました。「特に新規導入においては、パスワードレス認証ソリューションを目指す必要があります。」
画像 クレジット: Mamun_Sheikh / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-azure-mfa-flaw-access/
