攻撃者がすでに鍵を持っている場合、MFAは開けるための別のドアにすぎない。

Figureの情報漏えいは、一度も悪用されることなく、967,200件の電子メール・レコードを流出させた。それが何を可能にするのか、そしてなぜMFAがそれを阻止できないのかを理解することは、ユーザー教育の問題ではなく、アーキテクチャの問題です。

2026年2月、TechRepublicは、金融サービス企業のFigureが新たに公表したデータ流出事件で、約96万7,200件の電子メール記録が流出したと報じた。脆弱性は連鎖しなかった。ゼロデイが焼かれたわけでもない。記録はアクセス可能であり、今や敵の手中にある。

このような情報漏洩の報道は、件数のカウントに止まりがちである。しかし、それは間違っている。暴露されたレコードの数が事件なのではない。

実際のリスクを理解するには、このようなクレデンシャルの暴露が可能にする攻撃の連鎖を一歩一歩たどり、自分の環境の認証管理がどの時点でもそれを中断できるかどうかを正直に問う必要がある。

ほとんどの場合、それはできない。これがその理由である。

Table of contents

967,000の電子メール・レコードで攻撃者が行うこと
認証を保証に変える
レガシーMFAがこの連鎖を中断できない理由
レガシーMFAが解決できない構造的問題
フィッシングに強い認証に実際に必要なもの
トークン：デバイスではなく人間を検証する暗号化アイデンティティ
正直な評価
東建がどのようにギャップを埋めるかを見る

967,000の電子メール・レコードで攻撃者が行うこと

暴露された電子メールアドレスは、静的なデータではありません。それらは運用上のインプットなのです。このようなレコードセットが利用可能になってから数時間以内に、敵対者はいくつかの並列ワークフローを同時に実行します。

1つ目はクレデンシャル・スタッフィングです。フィギュアの顧客や従業員は、ほぼ間違いなくサービス間でパスワードを再利用している。敵対者は、公開されたアドレスを、LinkedIn、Dropbox、RockYou2024といった過去のインシデントから得た侵害データベースと組み合わせ、結果として得られたペアを、企業のポータル、VPNゲートウェイ、Microsoft 365、Okta、およびIDプロバイダーに対して大規模にテストする。自動化で大量処理

新しいEメールリストに対するクレデンシャル・スタッフィング・キャンペーンの成功率は、通常2～3％です。967,000レコードの場合、19,000から29,000の有効なクレデンシャルのペアになる。

2つ目のワークフローは、標的型フィッシングである。AI支援ツールにより、Eメールリストからパーソナライズされたフィッシング・キャンペーンを数分で生成できるようになった。メッセージは組織名を参照し、内部通信を装い、視覚的には正規の通信と区別がつかない。

受信者を特定したターゲティング（役職、部署、または公開されているLinkedInのデータを使用して誘い文句を調整すること）は、標準的なやり方であり、国家行為者にのみ許された能力ではない。

3つ目は、ヘルプデスクのソーシャル・エンジニアリングだ。有効な電子メール・アドレスと基本的な OSINT で武装した敵対者は、IT サポート・チームに電話をかけて従業員になりすまし、パスワードのリセット、MFA デバイスのリセット、アカウントのロック解除を要求します。

この攻撃ベクトルは、認証技術を完全にバイパスし、認証の失敗を処理するために存在する人的プロセスを標的にする。

これらのワークフローでは、技術的な脆弱性は必要ありません。敵の目標は、侵入することではない。有効なユーザーとしてログインすることである。侵入がアクセスを生み出すのではない。認証システム自体によってアクセスが可能になる条件を作り出すのである。

a.fl_button { background-color：#border：1px solid #3b59aa; color：#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin：4px 2px; cursor: pointer; padding：12px 28px; } .fl_ad { background-color：#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border：1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color：color: #333; line-height: 24px; font-family：font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding：10px 0 10px 10px; } .fl_rig { padding：10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding：0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

認証を保証に変える

トーケンのバイオメトリック・アシュアード・アイデンティティ・プラットフォームは、認証の失敗が許されない組織のために構築されています。

既存のIAM、SSO、PAMスタック全体で、トーケンがどのようにアイデンティティ保証を強化できるかをご覧ください。

さらに詳しく

レガシーMFAがこの連鎖を中断できない理由

これは、ほとんどのインシデント事後分析が軽視している分析の部分です。組織は、クレデンシャルの漏洩について読み、MFAの展開によって守られていると結論付けます。上記の攻撃チェーンでは、この結論は構造的に間違っています。

最近の敵対的なツールはセキュリティ研究者がリアルタイム・フィッシング・リレーと呼ぶものを実行し、敵対的中間者(AiTM)攻撃と呼ばれることもある。仕組みは正確である。

敵対者は被害者と正当なサービスの間にリバース・プロキシを構築する。被害者がなりすましたページでクレデンシャルを入力すると、プロキシはそのクレデンシャルをリアルタイムで実際のサイトに転送する。

実際のサイトは MFA チャレンジで応答する。プロキシはそのチャレンジを被害者に転送する。被害者は応答する – ページが正当なものに見え、MFA プロンプトが本物であるため。プロキシはその応答を転送する。敵は認証されたセッションを受け取る。

プッシュ通知 MFA、SMS ワンタイムコード、TOTP 認証アプリはすべてこのリレーに対して脆弱である。これらはコードの交換を認証する。これらのアプリはコードの交換を認証するが、交換を完了した個人が認証されたアカウント保有者であることを検証しない。直接セッションとプロキシされたセッションを区別できない。

この攻撃を自動化するツールキット（Evilginx、Modlishka、Muraena、およびそれらの派生）は一般に公開されており、活発にメンテナンスされており、操作に高度な技術を必要としません。この機能はエキゾチックなものではない。基本中の基本なのだ。

MFAの疲労はこれをさらに悪化させる。有効なクレデンシャルを入手しても、リアルタイムでセッションを中継できない攻撃者は、その代わりに、フラストレーションや混乱からユーザーが1つのセッションを承認するまで、繰り返しプッシュ通知をトリガーする。この攻撃は、大きく報道されたインシデントを含め、成熟したセキュリティ・プログラムを持つ組織に対して成功裏に使用されてきました。

これらの技術に共通するのは、レガシーMFAは認証チェーンの最終決定ポイントに人間を置き、それを破るために特別に設計された条件下で、その人間が正しい判断を下すことに依存しているということです。

レガシーMFAが解決できない構造的問題

認証の失敗に対するセキュリティ業界の標準的な対応は、ユーザー教育である。フィッシングを見分ける訓練をする。予期しないMFAプロンプトを確認するように教育する。自分が開始したのではないリクエストを承認しないように注意喚起する。

この対応は間違っていない。不十分であり、その不十分さは動機付けではなくアーキテクチャ上のものである。

リレー攻撃では、ユーザがフィッシング・ページを認識する必要はない。彼らが受け取るMFAプロンプトは本物であり、正規のサービスによって発行され、彼らが毎日使っているのと同じアプリを通じて配信される。ユーザーが検知できるような異常は何もない。この攻撃は、ループ内の人間には見えないように設計されている。

より深刻な問題は、ほとんどの組織が導入している認証アーキテクチャが、侵害後の環境で実際に重要な質問に答えるように設計されていないことだ。

プッシュ通知はこの質問に答えていない。SMSコードはこの質問に答えない。TOTP はこの質問には答えない。USB ハードウェア・トークンは、関連するが異なる質問に答える。

監査人、規制当局、サイバー保険会社は、この違いを明確に示すようになってきている。許可された個人がその場にいたことを証明できるか」という質問は、CMMCの評価、NYDFSの審査、アンダーライターのアンケートに現れている。デバイスの存在は、もはや重要なアクセスにおける人間の存在の代用として受け入れられるものではありません。

フィッシングに強い認証に実際に必要なもの

FIDO2/WebAuthnはこの会話で頻繁に引用され、有意義な前進である。標準的なパスキーの実装は、クレデンシャルをデバイスまたはクラウドアカウントにバインドする。

クラウド同期パスキーはクラウドアカウントの脆弱性を継承する：リカバリ電話番号に対する SIM スワップ攻撃、クレデンシャル・フィッシングによるアカウント乗っ取り、リカバリ・フローの搾取。デバイス・バインド・パスキーはデバイスの所有を証明します。人間の存在を証明するものではありません。

リレー攻撃ベクトルを閉じるフィッシング耐性認証には、3つの特性が同時に必要です：

暗号化されたオリジン・バインディング：認証クレデンシャルは正確なオリジン・ドメインに数学的に結び付けられる。ドメインが一致しないため、なりすましサイトは有効な署名を作成できない。攻撃はクレデンシャルが送信される前に失敗する。
安全なハードウェアを離れることのないハードウェア・バインドされた秘密鍵：署名鍵はエクスポート、コピー、流出することはできない。エンドポイントの危殆化はクレデンシャルを危殆化しない。
認証された個人のライブ・バイオメトリクス検証：再生可能な保存済みバイオメトリクス・テンプレートではなく、認証された個人が認証の瞬間に物理的に存在することを確認するリアルタイムの照合。

3つの特性がすべて存在する場合、リレー攻撃は実行可能な経路を持たない。敵対者は、なりすましたサイトから有効な暗号署名を作成できない。発信元が変わった瞬間に暗号バインディングが失敗するため、セッションをリレイすることはできない。

バイオメトリクス検証は認証された本人でないと失敗するため、盗まれたデバイスを使用することはできない。承認プロンプトがないため、承認をソーシャル・エンジニアリングすることはできません。認証は、登録されたハードウェアでライブ・バイオメトリック照合で完了するか、完了しません。

トークン：デバイスではなく人間を検証する暗号化アイデンティティ

TokenCoreは、「デバイス、クレデンシャル、セッションではなく、人間を検証する」という、唯一妥協のない原則に基づいて構築されました。

ほとんどの認証製品は、脆弱な基盤に要素を追加するものです。Tokenはその基盤を置き換えます。このプラットフォームは、強制的な生体認証、ハードウェアに縛られた暗号化認証、物理的な近接性検証を組み合わせたもので、アクセスを許可するためには、これら3つの特性をすべて同時に満たす必要がある。

フォールバックはない。ユーザーが現場で入力できるバイパス・コードはない。許可された個人がその場にいて検証されるか、アクセスが行われないかのどちらかである。

これは、まさに上述の攻撃チェーンのために重要である。トーケンのバイオメトリクス認証済みアイデンティティ・プラットフォームは、各リンクを排除します：

フィッシングはありません。すべての認証は、正確なオリジン・ドメインに暗号的にバインドされます。なりすましのログイン・ページは有効な署名を生成しません。
リプレイなし。秘密署名鍵はハードウェアを離れることはありません。リレーされたセッションは、複製に必要な暗号材料が物理的にアクセスできないため、再構築できません。
委任なし。すべての認証イベントで指紋照合が必要です。同僚、盗まれたデバイスを持つ敵対者、またはソーシャル・エンジニアリングの標的は、認証された個人に代わって認証を完了することはできません。
例外なし。 バイオメトリック認証に代わるコード、回復フロー、ヘルプデスクのオーバーライドはありません。リスクは絶対であるため、管理は絶対である。

フォーム・ファクターも重要である。トークンはワイヤレスであり、ブルートゥース近接型で、USBポートは不要である。ユーザーがセッションを開始し、トークン・デバイスに指紋をタップすると、ブルートゥース近接が3フィート以内の物理的存在を確認し、アクセスが許可されます。

複数のワークステーションにまたがって作業するオンコール管理者、トレーディング・フロア・オペレーター、防衛請負業者にとって、これはシャドーITやレガシー・ハードウェア・トークンが生み出す回避行動の原動力となる摩擦を排除します。

USBベースの代替品とは異なり、トークンは無線でフィールド・アップグレード可能です。敵対者がツールを進化させても、ハードウェアを交換したりデバイスを再発行したりすることなく、トークンの暗号制御をリモートで即座に更新することができます。ハードウェアの交換やデバイスの再発行が不要なため、脅威の状況が変化しても投資が無駄になることはありません。

トークンは人間を検証します。セッションではなく。デバイスでもない。コードでもない。人間です。

Mitigate Risk and Secure Vulnerabilities with TokenCore — **TokenCoreでリスクを軽減し、脆弱性を保護する**

正直な評価

図の侵害は、ダウンストリーム認証攻撃を生み出す。次の侵害も、その次の侵害も同様です。クレデンシャル・スタッフィング、AI生成フィッシング、リアルタイム・リレー攻撃を実行する敵対的なインフラストラクチャは、公開された電子メール記録に対して継続的に動作します。

問題は、これらの攻撃があなたの環境に対して試みられるかどうかではない。必ず行われる。

重要なのは、認証アーキテクチャが成功するために人間の判断を必要とするかどうか、あるいは人間の判断が失敗のポイントにならないように設計されているかどうかである。

レガシー MFA は、その一般的なすべての形態において、人間の判断を必要とする。ユーザは異常を認識し、プロンプトに疑問を持ち、敵対的なプレッシャーの中で正しい判断を下さなければならない。これは重要なコントロール・ポイントにおける脆い依存関係であり、敵対者はこれを悪用するためにツール・チェーン全体を構築してきた。

トークンはその依存関係を取り除く。デバイスは、確認されたバイオメトリックの一致で正当なドメインに署名する。操作するプロンプトはありません。技術的な決定もない。例外もない。

これは機能ではない。それは、この違反、そしてこのようなすべての違反が引き起こす条件下で保持される認証のアーキテクチャ要件である。

東建がどのようにギャップを埋めるかを見る

トーケンのバイオメトリック・アシュアード・アイデンティティ・プラットフォームは、認証の失敗が許されない組織（防衛請負業者、金融機関、重要インフラ、高い特権アクセス要件がある企業環境など）のために構築されています。

暗号化。バイオメトリックワイヤレス。フィッシングなし。リプレイなし。委任なし。例外なし。

詳しくはtokencore.comをご覧ください。

主催・執筆：トーケン