Microsoft

Microsoft は、多要素認証 (MFA) 疲労攻撃を回避するために、Microsoft Authenticator プッシュ通知で番号照合の強制を開始しました。

このような攻撃 (プッシュ ボムまたは MFA プッシュ スパムとも呼ばれます) では、サイバー犯罪者は、盗んだ資格情報を使用して企業アカウントにログインしようとする試みを承認するよう求めるモバイル プッシュ通知を標的に送り込みます。

多くの場合、ターゲットは、誤って、または終わりのないように見えるアラート ストリームを停止するために、繰り返される悪意のある MFA プッシュ リクエストに屈し、攻撃者がアカウントにログインできるようにします。

このタイプのソーシャル エンジニアリング攻撃は、この攻撃方法を使用してMicrosoftCiscoUberなどの著名な組織に侵入した Lapsus$ および Yanluowang の脅威アクターによって、すでに非常に成功していることが証明されています。

ただし、 以前に発表されたように、Microsoft は今日から Microsoft Authenticator MFA アラートの番号照合を実施し、テナント全体での MFA 疲労攻撃の試みをブロックします。

「番号照合は、Microsoft Authenticator の従来の第 2 要素通知に対する重要なセキュリティ アップグレードです。2023 年 5 月 8 日以降、Microsoft Authenticator プッシュ通知のすべてのユーザーに対して、管理コントロールを削除し、テナント全体で番号照合エクスペリエンスを適用します」と Microsoft は述べています

「関連するサービスは、2023 年 5 月 8 日以降にこれらの変更の展開を開始し、ユーザーは承認要求で番号の一致を確認し始めます。サービスが展開されると、番号の一致が表示されるものと表示されないものがあります。」

Microsoft MFA 番号の照合
Microsoft MFA 番号の照合 (Microsoft)

Microsoft が管理コントロールを削除する前に番号照合を手動で有効にするには、次の URL に移動する必要があります。 Azure portal で [セキュリティ] > [認証方法] > [Microsoft Authenticator] に移動します。

そこから、次の手順を実行します。

  1. [有効にして対象]タブで、 [はい][すべてのユーザー]をクリックして、すべてのユーザーに対してポリシーを有効にするか、選択したユーザーとグループを追加します。これらのユーザー/グループの認証モードをAnyまたはPushに設定します。
  2. [構成]タブの[プッシュ通知に番号の一致が必要]で、 [ステータス] を[有効]に変更し、番号の一致に含めるユーザーまたは除外するユーザーを選択して、[保存]をクリックします。

また、Graph API を使用して、すべてのユーザーまたは単一のグループに対して番号の一致を有効にすることもできます (詳細情報はこちらで入手できます)。

「ユーザーが別の既定の認証方法を使用している場合、既定のサインインに変更はありません」と Microsoft は述べています。

「既定の方法が Microsoft Authenticator であり、ユーザーが次のいずれかのポリシーで指定されている場合、2023 年 5 月 8 日以降、番号照合の承認が開始されます。」

MFA 疲労攻撃に対する追加の防御線を追加したい場合は、ユーザー ( MicrosoftDUOOkta ) ごとの MFA 認証要求の数を制限し、それらのしきい値を超えたときにアカウントをロックするか、セキュリティ チーム/ドメイン管理者に警告することもできます。