Multi-factor Authentication

東建のCEO兼次世代MFAエバンジェリスト、ジョン・ガンによる記事。

世界は包囲されている。これはニュースではない。国家に支援されたサイバー犯罪者や、ダークウェブの強力なツールを使って増えつつある初心者たちが、サイバーセキュリティ・チェーンのあらゆる弱点を突いています。

多要素認証(MFA)は、かつては破られない防御として称賛されたが、その時代遅れの技術の重みに耐えかねて崩壊しつつある。フィッシング攻撃、ランサムウェア、そして高度なエクスプロイトが、驚くほど簡単にレガシーMFAを迂回しているのだ。

この記事では、MFAの失敗が増加の一途をたどっていること、これらの攻撃を増幅させる生成AIの驚くべき役割、防御を弱めるユーザーの不満の高まり、そして頻繁に悪用される顕著な脆弱性について掘り下げる。嵐が吹き荒れ、最悪の事態はまだまだ続く。

レガシーMFA:フィッシングやランサムウェアへの門戸開放政策

フィッシングやランサムウェアによる攻撃の波があらゆる業界に押し寄せ、壊滅的な被害をもたらしている。サイバー犯罪者がレガシーMFAソリューションの弱点につけ込み、何十億ドルもの損害が発生している。

ワンタイムパスワード(OTP)やSMS認証のような簡単に破られる原理に基づいて構築されたこれらのシステムは、容赦ない猛攻撃にはかなわない。

フィッシング攻撃は、人間の騙されやすさを利用した洗練されたソーシャル・エンジニアリングの手口でMFAを迂回し、驚くほど効果的になっている。

ランサムウェアの運営者は、レガシーMFAの弱点を突いてネットワークに不正アクセスし、重要なシステムを人質に取って天文学的な身代金を要求する。

レガシーMFAは、かつての障壁から今やサイバー犯罪者の回転ドアへと変遷し、日を追うごとに大きな災いを招いている。

ジェネレーティブAI:サイバー犯罪者のお気に入りの武器

ジェネレーティブAIは諸刃の剣であり、悪用されれば比類ない威力を発揮する武器となる。サイバー犯罪者は現在、AIを駆使して本物の通信と事実上見分けがつかないようなフィッシング攻撃を仕掛けている。

誤字脱字や文法の間違いはなくなった。緊急性、真実味のあるオファー、信頼の欠如もなくなった。電子メールやメッセージは、本物であるかのように見せかけ、どんなに訓練されたユーザーでも、うっかりサイバー犯罪者にネットワーク・アクセスを提供してしまう。

AIを駆使したツールは、企業のコミュニケーション・パターンを分析し、驚くほど正確に再現する。AIを搭載したチャットボットは、長期間にわたってリアルタイムのやりとりを行うことができ、ディープフェイクは、最も用心深いユーザーをも簡単に欺く、サイバー犯罪者の究極の武器として台頭してきている。

AIによって、フィッシングはもはや粗雑な芸術ではなく、正確な科学となった。レガシーMFAの弱点と組み合わせることで、これらのツールは大規模で成功率の高いキャンペーンを可能にし、サイバー犯罪と組織リスクの状況を再定義している。

.fl_ad { background-color:#width: 95%; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 4px 4px #728cb8; min-height: 200px; display: flex; /* フレックスボックスを有効にする */ flex-wrap: wrap; /* レスポンシブレイアウトのための折り返しを許可する */ overflow: hidden; /* コンテナ内にコンテンツが留まるようにする */ } .fl_lef { min-height: 150px; width: 30%; /* 左カラムの幅を設定 */ display: flex; /* 中央揃えするためにフレックスボックスを有効にする */ justify-content: center; /* 水平方向に中央揃え */ align-items: center; /* 垂直方向に中央揃え */ padding:10px; /* コンテナの周囲にパディングを追加 */ box-sizing: border-box; /* width/height にパディングを含める */ } .fl_lef img { max-width: 100%; /* 画像がレスポンシブであることを確認 */ height: auto; /* 縦横比を維持 */ display: block; } .fl_rig { width: 65%; /* 右カラムの幅を設定 */ padding:10px; box-sizing: border-box; /* width/height に padding を含める */ display: flex; /* flexbox を有効にする */ flex-direction: column; /* コンテンツを縦方向に重ねる */ justify-content: center; /* コンテンツを縦方向に中央揃え */ } @media screen and (max-width: 600px) { .fl_lef, .fl_rig { width: 100%; /* 小さな画面でカラムを重ねる */ padding:10px; /* パディングを調整 */ } .fl_ad { flex-direction: column; /* 左右のセクションをスタック */ } }

Example Image

電子書籍「Generative AI: A Game Changer for Security and Hacker Strategy(ジェネレーティブAI:セキュリティとハッカー戦略のゲームチェンジャー)」は、次世代のウェアラブル多要素認証(MFA)が侵害との戦いにどのような変革をもたらすかを探る。この重要なガイドブックでは、AIによるフィッシングの脅威の高まり、ヒューマンエラーという根強い課題、そして漏洩した認証情報を無意味なものにするために次世代MFAが重要である理由について説明しています。

ユーザーの警戒心の崩壊

サイバーセキュリティの最も痛い教訓であり、これまで軽減する方法がなかった教訓は、サイバーセキュリティ戦略は、それを使用しなければならない人間ほど強力であるということである。しかし、レガシーMFAは依然として完全にユーザーに依存しており、これこそが脆弱性の核心である。

繰り返されるOTPプロンプト、漏洩したエンドユーザーデバイスへの依存、絶え間ないワークフローの中断は、不満と疲労を生む。

ギャラップ社が最新の全国雇用調査の結果を発表したばかりだが、それによると、従業員のエンゲージメントは10年来の低水準に達しており、エンゲージメントの基準を満たしている従業員はわずか31%に過ぎない。エンゲージメントのない残りの69%が、企業ネットワーク・アクセスの理想的な守護者だと思う人はいるだろうか。

さらに悪いことに、20%から40%のユーザーが仕事を辞める予定で、すでに片足をドアから踏み出しているにもかかわらず、高度なサイバー攻撃を阻止するためにこのようなユーザーに頼っているのだ。

唯一の解決策は、ユーザーに頼るのをやめ、ハッキングされないようにする方法を見つけることである。

レガシーMFAに空いた穴

サイバー犯罪者は、レガシーMFAシステムの顕著な脆弱性を突くスキルを磨いてきた。彼らが好む手口には次のようなものがある:

  • フィッシング:ユーザーを騙してログイン認証情報、OTPコード、MFAアプリの承認を漏らさせる
  • 中間者(MitM)攻撃:中間者(MitM)攻撃:認証データを転送中に傍受し、不正アクセスを行う。
  • MFAプロンプト爆撃:混乱や不満からユーザーがアクセスを許可するまで、リクエストでユーザーを圧倒する。
  • SIMスワッピング:携帯電話番号を乗っ取り、SMS ベースのコードを傍受する。
  • クレデンシャル・スタッフィング(Credential Stuffing):クレデンシャルの詰め込み:漏洩したクレデンシャルを使用して、MFAプロテクションを気付かれずにすり抜ける。

これらの攻撃は、時代遅れのレガシー認証システムの脆さを露呈しています。レガシーMFAは静的な防御と共有された秘密に依存しており、現代の脅威に対して脆弱なままになっている。その証拠に、CISAはランサムウェア攻撃の90%はフィッシング・メールが原因であると述べている。この脆弱性を排除すれば、攻撃対象の90%は消滅する。

結論

レガシーMFAに内在する弱点は、日を追うごとに問題とコストを増大させており、その結末は悲惨である。大ニュースとなった数百万ドル規模のランサムウェアやデータ漏洩攻撃の圧倒的多数は、レガシーMFAの失敗の結果である。MFAが失敗するのは、それが効果的であるかどうかをユーザーに依存しているからである。これらは、20年前の脅威の状況に合わせて20年前に設計された脆弱なロックである。

時計の針は私たち全員を刻々と刻んでいる。フィッシングに強い、ユーザーの勤勉さに依存しない次世代MFAへの移行は、すべての組織にとって急務である。この大きなリスクを軽減する様々なソリューションを持つ多くの革新的な新興企業がある。結局のところ、答えは極めてシンプルです。犯罪者がロックを破っているのであれば、より優れたロック、理想的にはこの10年のものを手に入れましょう。

トーケンの次世代MFAがどのようにフィッシングやランサムウェアによる組織への被害を食い止めることができるのか、tokenring.comで詳細をご覧ください。

ジョン・ガン(John Gunn)は、フィッシングから始まるランサムウェア攻撃(ランサムウェア攻撃全体の90%)による壊滅的な損失とビジネスの混乱から組織を守る方法を変えようとしている企業、トーケンのCEO兼次世代MFAエバンジェリストです。トークンは、生体認証、パスワードレス、ウェアラブルな次世代MFAデバイスを開発し、20年前の技術であるレガシーMFAの人間の脆弱性を排除しました。ジョンは30年以上にわたってテクノロジー分野の組織を率いており、20年にわたりサイバー犯罪者と戦ってきた経験を持つ。前職では、世界トップ100行のうち70行を保護する不正防止ソリューションを提供した。それ以前には、初のUSBドングルベースのPKIソリューションを市場に送り出した。

主催・執筆:東建