ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
Icon Rounded Closed - BRIX Templates

MFA回避の技術:攻撃者はどのようにして二要素認証を突破するのか

Menlo Security
|
April 25, 2023
linkedin logotwitter/x logofacebook logoSocial share icon via eMail
__wf_リザーブド_デコラティブ

クラウドベースの生産性向上スイート、強力な分析プラットフォーム、最大規模の企業向けERPシステム、そしてその間にあるあらゆるアプリケーションなど、仕事をこなすために必要なアプリケーションのインターフェースとして、Webブラウザーは現代の業務に欠かせないものとなっています。しかし残念ながらそれは、Webブラウザーが現代の攻撃者にとっての主要な標的であることも意味します。このことは、現在の攻撃手法の本質や従来型のセキュリティ技術の有効性(あるいはその欠如)に大きな影響を与えます。

実際攻撃者は、いわゆる「ソリューション」の中でも、セキュアWebゲートウェイ(SWG)による検査や悪意のあるリンクの分析、マルウェア対策、サンドボックス、ネットワークトラフィック分析、あるいはドメインのカテゴライズに基づく防御などの企業が導入している典型的なセキュリティ技術をうまく回避することができる検知回避型脅威をこれまで以上に利用するようになっています。これらの攻撃は動きが速すぎるため、従来のセキュリティツールでは追いつくことができません。また、攻撃者は効果的にWebブラウザーをターゲットにしているため、Webブラウザーを直接防御しないセキュリティ技術では失敗する可能性が非常に高くなります。

このような検知回避型脅威の攻撃手法のひとつに、多要素認証(MFA)回避攻撃があります。近年、消費者認証と企業認証の両方でMFAの利用が増加しているため、攻撃者はMFAを回避する方法を学ぶことに大きな関心を示し、成功しています。

MFA回避攻撃とは何か?

MFA回避攻撃とは、サイバー犯罪者がワンタイムパスワードやデジタルトークン、生体認証などのMFAが提供する追加のセキュリティ層を回避し、機密データやシステムに不正にアクセスするために使用する技術を指します。シングルサインオン(SSO)のなりすましとしても知られるこれらの攻撃は、Okta、LastPass、OneLoginなどのSSOシステムの信頼を悪用し、攻撃者が複数の関連サービスに不正にアクセスすることを可能にします。攻撃者はMFA回避攻撃において、ソーシャルエンジニアリング、フィッシング、認証プロセスの脆弱性の悪用など、さまざまな方法を用います。

攻撃者がMFAシステムを狙う場合、パスワード(ユーザーが知っているもの)、トークン(ユーザーが持っているもの)、バイオメトリクス(ユーザーそのもの)など、1つまたは複数の特定のMFAコンポーネントを悪用しようとします。組織はこのような攻撃を阻止するために、適切なセキュリティ防御策を粘り強く適用する必要があります。

以下に、企業に対して成功裏に使用された、典型的なMFA回避技術をご紹介します。

MFA回避攻撃の仕組み

組織をターゲットにしたMFA回避攻撃には、一般的には3つのタイプがあります。それは、「MFA疲れ」、「中間者攻撃」、「トークンの盗用」です。

MFA疲れ

これは、盗んだユーザー名とパスワードの認証情報を入手した後、攻撃者がターゲットユーザーのアカウントに繰り返しログインしようとする攻撃です。MFA保護の一環としてプッシュ通知やSMS通知を有効にしている組織では、標的となったユーザーにログイン認証の要求が殺到します。大量の要求にうんざりしたり、あるいは誤操作によって、多くの場合ユーザーは最終的にリンクや確認要求をクリックしてしまいます。このような操作によって、攻撃者は侵入経路を得ることができます。

中間者攻撃(man-in-the-middle)

この攻撃は、セッションハイジャックやリアルタイムフィッシングと呼ばれることもあります。攻撃者がユーザー名とパスワードの組み合わせを手に入れるだけでよかった時代には、偽の認証用Webページを構築し、ユーザーを騙して認証情報を入力させようとしました。MFAが広く普及した今日では、攻撃者はユーザー名とパスワードの組み合わせと、第二の認証手段として使用されるデジタルトークンやワンタイムパスワードの両方を必要とするために侵入は難しいとされています。しかし残念ながら、多くの人が期待しているよりも簡単に侵入できてしまうことが判明しています。

この攻撃では、攻撃者はターゲットとなるエンドユーザーと正規のログインページの間に入り込みます。多くの場合、被害者はSMSやメールを通じてMFAプロバイダーへのアクセス要求を受信し、ユーザーがそれをクリックすると、悪意のあるプロキシサーバーを経由して正規のログインページに誘導されます。プロキシを経由することで、攻撃者は認証情報を取得し、セッションクッキーを変更して、標的となる企業のシステムに直ちにアクセスすることができます。このような攻撃のバリエーションは、今後も増えていくことが予想されます。

トークンの盗用

ユーザーがセッション中に再認証する必要がないように、「セッションクッキー」がエンドポイントデバイスに保存されます。攻撃者はこのセッションクッキーを盗みます。そして、セッションクッキーを攻撃者のセッション内に配置し、ブラウザーを騙して実際の信頼できるユーザーが認証されていると思わせます。一旦侵入すると、攻撃者は、信頼されたユーザーが同じCookieを使ってできることをすべて実行できるようになります。

MFA回避攻撃の最近の例

MFA疲れ攻撃の例

MFA回避攻撃が最近のニュースを賑わしました。その一つの例が、昨年秋に発生したUberのITシステムに対する侵害です。その「MFA疲れ」攻撃では、攻撃者は自分がUberのIT部門の人間であるとUberの従業員に信じ込ませていました。ログイン要求を承認させようと何度も試みた結果、Uberの従業員は結局、疲れてうんざりするか、騙されて承認することになったのです。

中間者攻撃の例

Redditは今年初め、攻撃者が従業員のユーザー名、パスワード、2要素認証トークンの取得に成功したと報告しました。RedditのCTOであるChristopher Slowe氏は、この事件の詳細をサイト上で説明しています。「2023年2月5日深夜(PST)、Redditの従業員をターゲットにした高度なフィッシングキャンペーンに気づきました。ほとんどのフィッシングキャンペーンと同様に、攻撃者は従業員に対して、もっともらしく聞こえるプロンプトを送信し、当社のイントラネットゲートウェイの動作を模倣したWebサイトを案内して、認証情報と第2要素のトークンを盗もうとしました。」とSlowe氏は書いています。

同様の攻撃は、TwilioとCloudflareを標的にしています。また、ストーニーブルック大学の研究者は、Evilginx、Modlishka、Muraenaなどの広範なキットのおかげで、中間者フィッシング攻撃が増加していることを明らかにしています。

トークン盗用攻撃の例

Lapsus$として知られるランサムウェアグループは、最近トークン盗用攻撃を行いました。このグループは、最近閉鎖されたGenesis Marketplaceとして知られる闇市場で、盗まれたセッションクッキーをElectronic Artsの従業員から購入したと主張しました。この盗まれたクッキーによって、サイバー犯罪者はEAのSlackインスタンスにアクセスすることができました。この結果、Lapsus$はゲームやグラフィックエンジンのソースコードを含むEAの780GBのデータを取得することに成功しました。その後、このグループは、そのデータを使ってElectronic Artsを恐喝しようとしました。

検知回避型脅威の巧妙な性質

これらの検知回避型脅威は、企業のシステムやデータがいかに脆弱であり、巧みな攻撃者の餌食になりやすいかを示すものとして重要です。また、広く普及しているネットワークおよびエンドポイントセキュリティツールには、Webブラウザーを保護するための機能が備わっていないことも有利に働いています。これらの既存のソリューションはネットワーク層を保護するように設計されたもので、最新の攻撃が標的としているWebブラウザーを保護するようには作られていないのです。

EA、Reddit、Twilio、Uberなどの組織を標的としたMFA回避攻撃は、MFAを回避することに加え、コンテンツカテゴライズエンジン、URLフィルタリング、セキュアメールゲートウェイ、企業の異常検知機能などの既存のセキュリティツールを回避したことで成功しました。標的となったエンドポイントの多くは、企業のセキュリティチームが管理もセキュリティ対策も行っていない個人所有のデバイスでした。これらのデバイスは、セキュリティがほとんど施されていないため、攻撃者の格好の標的となってしまったのです。

その回避的な性質から、私たちはこれらの脅威をHEAT(Highly Evasive Adaptive Threats:検知回避型脅威)と分類しています。HEAT攻撃は、リモートワークやハイブリッドワーカーの増加、クラウドへの移行、SaaS(Software-as-a-Service)アプリケーションの導入が加速する中で生まれました。HEAT攻撃は、現在導入されている検知型のセキュリティツールをうまく回避する技術を利用し、今日のすべてのナレッジワーカーが使用する生産性ソフトウェアであるWebブラウザーを標的とします。

MFA回避攻撃などのHEAT攻撃はリアルタイムに発生するため、特に危険です。悪意のある攻撃者は、Webフィルタなどの従来型のセキュリティ対策が更新される前に、脆弱性を狙うことができます。また、これらのHEAT攻撃の有効性は、技術サポートスタッフになりすましたり、大量の認証要求でユーザーをうんざりさせたりするなど、ソーシャルエンジニアリング技術を使用したり個人を騙したりしてセキュリティレベルを低下させることに由来しています。

このようなソーシャルエンジニアリングを使った攻撃は、一定の割合のエンドユーザーが必然的に受けてしまうものであり、また攻撃が速すぎてシグネチャを用いた防御では間に合わないため、攻撃の進行中に停止させるための対策を講じなければなりません。このような攻撃に効果的に対処するためには、ユーザーのWebブラウザー内で攻撃を阻止することが不可欠です。

MFA回避の防御

MFA回避やその他のHEAT攻撃に対する防御を成功させるために、企業はブラウザー内部を可視化できる防御的なソリューションにセキュリティの取り組みを集中させ、このような回避的な攻撃をリアルタイムに検知して対応できるようにする必要があります。そしてセキュリティチームは、攻撃者が注力している場所、つまりWebブラウザーの内部に注目する必要があります。攻撃者がリアルタイムに戦術を変更するように、企業もWebブラウザー内で直接セキュリティ防御を実施できる、適応型のセキュリティ制御を適用できるようにすれば、攻撃がデバイスやシステムに影響を与え、データが漏洩する前にそれを阻止することができるのです。

ブログカテゴリー
タグ付き
HEAT