Microsoft は、Active Directory と Azure AD アカウントをより適切に保護する方法として、顧客が多要素認証 (MFA) を有効にすることを長い間推奨してきました。
MFA がないと、有効なユーザー名とパスワードにアクセスできれば、誰でもユーザーのアカウントにログインできてしまいます。
MFA は、パスワードだけではユーザーのアカウントにアクセスできないように、少なくとも 1 つの追加要件を追加します。
テキスト メッセージの本人確認
MFA にはさまざまな形式がありますが、最も一般的な MFA 手法の 1 つは、ユーザーのスマートフォンに 1 回限りの使用コードをテキスト送信し、認証プロセスの一部としてそのコードを入力するようユーザーに要求することです。
テキスト メッセージングの使用は、盗まれたパスワードを使用してアカウントにアクセスしようとするサイバー犯罪者から組織を保護するのに大いに役立ちますが、テキスト メッセージング ベースの MFA には独自の脆弱性があります。
これらの脆弱性は、最近の Twillo のハッキングで明らかなように、テキスト メッセージングに関連する一般的なセキュリティの弱点に起因しています。
このハッキングは、何人かの Twillo 従業員が偽の Web サイトに誘導する詐欺的なテキスト メッセージに応答し、そこでパスワードのリセットを求められたときに発生し、その結果、これらの従業員のアカウントが侵害されました。
Twillo のハッキングによって引き起こされたより大きな問題は、暗号化されたメッセージング プロバイダーである Signal が電話番号の確認に Twillo のサービスを使用していたことです。その結果、 1900 人の Signal ユーザーのアカウントが侵害されました。
攻撃者は、これらのユーザーの以前の Signal 通信にアクセスすることはできませんでしたが、Signal ユーザーのアカウントが別のデバイスに再登録されたインシデントが少なくとも 1 件ありました。
多要素認証でテキスト メッセージを使用するリスク
Twillo のハッキングとその後の130 の Twillo 顧客に対する攻撃は、悪意のあるテキスト メッセージに関連するいくつかの危険性を示しています。ただし、MFA に関しては、組織が考慮しなければならない追加の危険性がいくつかあります。
テキスト メッセージングを MFA メカニズムとして使用する際の問題は、受信者だけが認証コードの送信先の物理デバイスにアクセスできると想定していることです。
最も明白な問題は、デバイスが常に盗まれていることですが、デバイスのロック コードにより、泥棒が所有者のテキスト メッセージにアクセスするのを防ぐことができると考えられます。
ただし、より大きな問題は、攻撃者がテキスト メッセージを別のデバイスにリダイレクトする方法として、マルウェアや SIM スワッピングを使用する可能性があることです。
攻撃者がユーザーのモバイル デバイスをマルウェアに感染させ、このマルウェアがユーザーの Active Directory のユーザー名とパスワードを攻撃者に明らかにしたと想像してみましょう
この場合、マルウェアがすべてのユーザーのテキスト メッセージのコピーを攻撃者のデバイスに転送していると仮定します。これは、攻撃者が盗んだ資格情報を使用してログイン プロセスを開始できることを意味します。
この時点で、Active Directory 環境は 1 回限りの使用コードをユーザーのモバイル デバイスに送信します。
ただし、攻撃者もコードを受け取るため、ユーザーとしてログインするために必要なすべてのものを手に入れることができます。
多要素認証の「複数の要素」を有効に
テキスト メッセージに関連する脆弱性にもかかわらず、MFA は依然としてアカウントを安全に保つために不可欠なツールです。
ただし、組織は、2FA (2 要素認証)、つまり資格情報とテキスト メッセージから 2 つ以上の検証方法の多要素認証にアップグレードすることで、テスト ベースの MFA に関連する脆弱性を回避する方法を探す必要があります。
Specops は、 Secure Service Desk製品でこれを見事に実現しています。
ユーザーがサービス デスクに連絡してパスワードのリセットを要求する場合、ユーザーは MFA を使用して ID を証明する必要があります。
実際、ユーザーを支援している技術者は、ユーザーの ID が確実に特定されるまで、ユーザーのパスワードを物理的にリセットすることはできません (これにより、最も一般的な形式の資格情報の盗難から組織が保護されます)。
Specops Secure Service Desk は、SMS テキスト メッセージによってユーザーのデバイスに送信されるコードの使用をサポートしていますが、このコードの代わりに、またはこのコードと組み合わせて使用できる他の検証方法があります。
たとえば、組織は Duo Security、Okta、PingID、生体認証、または Symantec VIP を追加の認証サービスとして使用する場合があります。
ヘルプデスクの従業員に依存するエンドユーザー検証とは対照的に、デフォルトで「ロボット」(またはこの場合はソフトウェア) を使用することで、エンドユーザー検証プロセスから人的エラーの要素を取り除くことができます。
さらに、テキストベースの検証と追加のオプションを組み合わせることで、MFA は真に「複数の」要素となり、二次的な防御線による潜在的なテキスト ハッキングの脅威のリスクを軽減します。
Comments