亀裂を見つける — MFA をバイパスする詐欺の新たな手口

これで、被害者はフィッシング Web サイトにアクセスすることになりますが、それが詐欺であることに気づきません。被害者は、自身の OTP トークンをフィッシング Web サイトに快く提供します。これにより、詐欺師が被害者のアカウントを乗っ取れるようになります。

OTP をバイパスする大規模なフィッシング詐欺の例を、 最近、Akamai の脅威リサーチチームが確認しました。このキャンペーンには、英国の銀行 8 社が含まれており、7,000 以上のフィッシングドメインが標的になっていました。原因となっていたのがバックエンドの管理操作で、この操作が標的の銀行のアクセスフローで必要になるたびに OTP トークンが手動でアクティベートされていました。

SIM スワップ

もう 1 つの手法は、携帯電話の SIM スワップです。OTP の盗難ほど一般的ではありませんが、SIM ハイジャックと呼ばれることもあります。これは主に、標的を絞った、より高度な詐欺で使用されます。この手法のベースになるのが、ユーザーのログイン認証情報に関連付けられた電話番号の所有権を詐欺師の SIM とスワップ（入れ替え）して詐欺を行うというアイデアです。スワップが成功すると、詐欺師は元の電話番号宛てのすべての通信と認証（音声通話や SMS メッセージなど）を傍受できるようになります。

SIM スワップ詐欺を成功させるには、所有権の変更をリクエストするために、詐欺師がサービスプロバイダーに電話番号の所有者として特定されなくてはなりません。このような所有権の変更には、一般的に、標的の電話番号所有者の個人情報（社会保障番号、誕生日、住所など）が必要になります。

最近の SIM スワップ攻撃キャンペーンでは、有名なセレブや、ミュージシャン、ソーシャルメディアのインフルエンサーが標的になったことが英国国家犯罪対策庁（NCA）から報告されています。NCA は他の機関と連携し、英国の犯罪者ネットワークを摘発しました。このネットワークは、協力し合って被害者の電話番号にアクセスし、パスワードを変更してアプリケーションやアカウントを掌握していたのです。

従来の認証 API を使用して MFA をバイパス

MFA をバイパスするもう 1 つの方法は、フロントドアが厳重に保護されている場合のバックドアからの侵入です。多くの場合、認証ソリューションをアップグレードして MFA 認証を採用する過程で、従来のアクセスソリューションを意図的に（または誤って）そのまま維持し、MFA ソリューションと互換性のないアプリケーションの事業継続性を確保できるようにします。

OTP トークンの窃盗に伴う困難を避けたい詐欺師は、従来の API を見つけ、Credential Abuse キャンペーンなどの攻撃を仕掛けて悪用します。このようなキャンペーンでは、通常、データ漏えいの結果として得た認証情報が利用されます。攻撃者が、その認証情報をインターネット全体に拡散し、同じ認証情報でアクセスされているアカウントを探し出して、アカウントを侵害する機会を容易に得ているのです。

プッシュ通知認証をバイパス

近年、ユーザーにとってより簡単かつ安全な MFA 認証体験を実現するために、モバイルプッシュ通知テクノロジーが採用されています。モバイルデバイスのプッシュ通知メカニズムを使用すると、全体的なユーザー体験が向上し、その結果として MFA テクノロジーの採用率も向上します。ただし、モバイルプッシュ通知で MFA を使用しても、OTP トークンを盗み取るようなフィッシング詐欺を防ぐことはできません。被害者は、盗まれた認証情報をもとに作成された不正プッシュ通知を承認し、自分のアカウントへのフルアクセス権を詐欺師に与えてしまうのです。

それだけではありません。プッシュ通知認証の導入は、ユーザーの操作を最小限に抑え、OTP コードをコピーしなくても Web サイトにアクセスできる、ジェスチャーベースの通知をモバイルデバイスに導入したことになります。これが、ユーザー認証プロセスを悪用する機会をさらに増やします。その典型的な例が Credential Stuffing 攻撃です。攻撃者は、漏えいした認証情報を使用してインターネット全体規模の攻撃を開始し、同じ認証情報でアクセスされているアカウントを探し出すことができます。第 2 の認証方式としてプッシュ通知を使用する Web サイトへの攻撃では、盗んだ認証情報によって認証が成功すると、そのユーザーにプッシュ通知が送信されます。ユーザーは、携帯電話に配信される通知を誤って、もしくは習慣から承認してしまい、詐欺に直接加担している意識がないまま、アカウントの認証情報が漏えいします。

プッシュ通知の限界を悪用した攻撃の一例が、2020 年の Twitter のハッキングです。このとき、ソーシャルエンジニアリング攻撃の結果として、Twitter 従業員の VPN アカウントが侵害されました。ハッカーが内部アプリケーションのアクセスに成功し、政治家、有名人、起業家の Twitter アカウントや、暗号資産（仮想通貨）会社のアカウントを乗っ取ったのです。 

Twitter のセキュリティインシデントについて詳細に説明した レポート によると、「MFA は重要ですが、すべての MFA 手法が同じ仕組みとは限りません。Twitter はアプリケーションベースの MFA を使用し、認証リクエストを従業員のスマートフォンに送信していました。これは一般的な MFA ですが、回避されてしまう可能性があります。Twitter のハッキング中、ハッカーは、ログインする Twitter 従業員にアプリケーションベースの MFA を認証するよう促し、MFA を通過したのです」ということです。   

亀裂をふさぐ

MFA ソリューションを使用すると、ユーザーや組織のセキュリティ体制が強化されます。それでも、アカウントを侵害する詐欺からユーザーを完全に保護できない MFA テクノロジーもあると認識することが重要です。これは、個人にとっては良くない知らせですが、組織には深刻な結果をもたらす可能性があります。1 人の従業員が不正な MFA プッシュを承認しただけで、攻撃者がアカウントへのフルアクセス権を獲得しかねないのです。 

アカウント侵害の原因となる攻撃のリスクを軽減するために、乗っ取り攻撃からアカウントを保護しつつ認証プロセスを強化する、マルチレイヤーのセキュリティ認証戦略の採用をお勧めします。

認証戦略では、クライアントとサーバー、両方の防御機能を考慮する必要があります。クライアント認証のフロントエンドでは、接続されているデバイスが強力な暗号化を通じて正当性を立証されていることを保証する認証手法を採用する必要があります。これにより、未認証のデバイスから盗まれた認証情報やトークンの使用を撲滅できます。

FIDO2 プロトコルは、このような課題に対処し、フィッシングや、あらゆる形式のパスワード窃盗、リプレイ攻撃のリスクを排除しながら、使いやすさとスケーラビリティを実現するテクノロジーを制御するためのものです。FIDO2 プロトコルの背後にあるテクノロジーによって、ユーザーのデバイスを確実に離れず、サーバーに保存されることのない、各 Web サイト固有の暗号化ログイン認証情報の使用が保証されます。主要ブラウザーでは、FIDO2 がすでにサポートされており、ブラウザーからのシンプルな JavaScript API 呼び出しによって統合できます。

サーバー側では、異常なアクセスや、過剰な負荷を与える Credential Abuse 攻撃、アカウントの乗っ取りから Web アプリケーションを保護するテクノロジーが、ユーザーの認証を補完する防御層として役立ち、アカウントが侵害されるリスクを軽減します。 

認証はセキュリティにおいて基本的な機能です。関連テクノロジーの革新は今後も進むでしょう。同時に、攻撃者は亀裂を探し続け、認証サービスの悪用方法やバイパス方法を見つけ出すでしょう。このような亀裂をふさぎ、防御壁となるセキュリティを維持するのが、Akamai の役目です。新たな脅威にさらされる可能性を減らすテクノロジーアーキテクチャやソリューションを採用し、ハッカーの一歩先を進み続けます。

Akamai の MFA ソリューションの詳細については、こちらをご覧ください： akamai.com/ja/products/akamai-mfaに対する、柔軟で信頼性の高い、包括的な保護を提供します。その仕組みをご覧ください。