多要素認証(MFA)は、サイバー犯罪との戦いにおいて重要な武器であり、企業や個人のオンラインセキュリティを大幅に強化します。しかし、サイバー犯罪者は立ち止まってはいません。
では、急速に進化する要件に対応するにはどうすればよいのでしょうか。
MFAは今日、サイバーセキュリティの標準的な推奨事項です。 MFAにはさまざまな形式がありますが、防御策は多ければ多いほどよいというわけではありません。例えば、二要素認証(2FA)はMFAの一形態である。しかし、その名が示すように、パスワードに続いてテキストや電子メールで送信されるワンタイム・パスコードで確認するなど、セキュリティの2層だけに頼っている。
より強力なアプローチは、2つのステップを超えて、おそらく顔スキャンや指紋のようなバイオメトリック・アプローチも含むだろう。
MFAは最高レベルで支持されている。米国のサイバーセキュリティ&インフラストラクチャー局(CISA)に勝るとも劣らない権威が、(たとえそれが強力なパスワードであったとしても)パスワードを単独で使用する従来のアプローチと比較して、MFAの利点を絶賛している。
「MFAを有効にしているユーザーは、ハッキングされる可能性が著しく低い。なぜか?悪意のあるサイバー行為者が1つの要素(パスワードなど)を侵害したとしても、2つ目の認証要件を満たすことができないため、最終的にアカウントへのアクセスを阻止できるからです」とCISAは指摘する。
組織も注目している。Statistaによると、世界のMFA市場は2022年に約130億ドルと評価され、2027年までに倍増すると予測されている。
規制監督の変化
MFAに対する規制上の要求も高まっている。MFAはPCI-DSS 4.0の要件であり、カード会員データの保存、処理、送信を行うグローバル組織のための中核的フレームワークである。
これはPayment Card Industry Data Security Standardのことで、カード会員とカード会員データを扱う企業をサイバー攻撃や侵害から保護するために策定された。PCI DSS 4.0は2024年4月1日に発効しました。
新しい要件の一環として、組織はカード会員データ環境(CDE)へのすべてのアクセスにMFAを実装する必要があります。
EUでは、MFAは決済サービスに関する改正指令(PSD2)の一部として含まれており、強力な顧客認証(SCA)を要求しています。
ペイメント・アソシエーションEUは、「要するに、この指令は、EUの経済領域内で発生する取引が、購入者の身元を確認するために多要素認証を利用することを保証するものです」と指摘している。
ハッカーがMFAを回避する危険性が高まっているため、規制や勧告は更新されつつある。国際プライバシー専門家協会(IAPP)が指摘するように、最近の2つの事例では、米連邦取引委員会(FTC)が企業に対し、従業員、請負業者、関連会社に対してフィッシングに強いMFAを義務付けるよう命じた。
これは、フィッシングやプロンプト・ボミングなどの攻撃に対するMFAの脆弱性を警告したCISAの新しいガイダンスの上に行われた。
MFAの新たな危険性
MFAは強力であり、特にそれが2つの要素を超える場合、組織はそれを不可解なものと考えるべきではない。残念ながら、MFAが侵害される可能性はいくつかある。
例えば「プロンプト爆撃」だ。最近の認証アプリは、ログイン要求の受諾または拒否をユーザーに促すプッシュ通知を提供している。これには明らかな利点がある。しかし、攻撃者に悪用される可能性もある。パスワードを漏洩した場合、ログインを試みてMFA応答を生成することができる。
攻撃者は、このようなプロンプトを何度も何度も送信し、ユーザーがそのプロンプトを本物だと信じたり、単に通知を黙らせたいがために、そのプロンプトを受け入れることを望むかもしれない。
このような攻撃では、さらにソーシャル・エンジニアリングを展開することもあり、ITチームの代表者など、別の人物を装って被害者がプロンプトを受け入れるように仕向けます。
このような巧妙なテクニックは、他にも利用することができる。犯罪者がパスワードを忘れた本物の顧客のふりをしてヘルプデスクを騙し、MFAを完全にバイパスさせることで、最近のMGMリゾーツのハッキングのように、電話経由でアクセスを得ることもできる。
防御を固める
プロンプト爆撃のような行為は、総称して「MFA疲れ」攻撃として知られており、無限の通知に疲れ、その警告に無頓着になる人間の傾向を利用するように設計されている。マイクロソフト社によると、こうした攻撃は近年ますます広まっているという。
マイクロソフト社の調査によると、単純な承認要求を初回で受け入れるユーザーは全体の1%程度だという。1%が低いと思われるかもしれないが、何千人もの従業員を抱える組織全体で考えてみてほしい。
では、どうすれば組織は自分自身と顧客を守ることができるのだろうか?どのようにすれば、進化する規制の要求に確実に応え、進化する領域の最先端にとどまることができるのだろうか?
- リスク・ベース認証:このアプローチは、ログイン・リクエストのシグナルに注目し、異常を探す。それは、地理的な場所、時間帯、異なる場所からのログイン試行回数など、ログイン・セッションの特徴かもしれない。
- 安全なパスワード:パスワードは常にサイバー犯罪者にとって攻撃の第一線である。実際、誰かがMFA疲れの犠牲になっている場合、攻撃者はすでにパスワードを漏洩している。漏洩したパスワードを検出し、その品質、一意性、強度を高めるのに役立つさまざまなオプションがあります。例えば、Specops Password Policyは、40億以上のユニークな漏洩パスワードをブロックし、ユーザがより強力なパスワード(実際に覚えているパスワード)を作成できるように導きます。
- スムーズなパスワードリセットプロセス:組織によっては、パスワードの変更はそれほど簡単ではありません。特にリモートワークのシナリオでは、ユーザーはヘルプデスクに電話をしてプロセスをサポートしなければならないかもしれません。さらに悪いことに、ユーザは単に問題を無視することにして、漏洩したパスワードをそのままにしておくかもしれません。パスワードを簡単に変更できることが重要です。この要求は、Specops uResetの中心的な機能であり、ユーザーはVPNをオフにしていても、ワークステーションのWindowsログオン画面からActive Directoryのパスワードをリセットし、ローカルにキャッシュされた認証情報を更新することができます。
MFAの需要に対応する
サイバーセキュリティの環境は、決して静的なものではありません。洗練されたサイバー犯罪者がもたらす脅威は常に進化し、規制環境はそれに応じてアプローチを強化しています。
これはすべての組織に負担を強いる。しかし、危険と同時にチャンスもある。MFAのベストプラクティスを採用する組織は、顧客と従業員のセキュリティを構築することができる。
しかし、MFAが破られた場合、犯罪者は常にパスワードを回避することから始める。簡単なことに聞こえるかもしれないが、この基本的なセキュリティ対策は、規制やセキュリティ技術のアップデートがあったとしても、依然として極めて重要である。ここが脆弱なら、どこでも脆弱なのだ。
パスワードセキュリティの改善方法について、またSpecops Password PolicyまたはSpecops uResetのデモまたは無料トライアルをご希望の方は、今すぐSpecopsチームまでお問い合わせください。
Specops Softwareがスポンサーとなり、執筆しました。
Comments