ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

MFA バイパスの技術:攻撃者が二要素認証を定期的に打ち負かす方法

|

クラウドベースの生産性向上スイート、強力な分析プラットフォーム、最大規模のエンタープライズERPシステム、そしてその中間にあるあらゆるアプリケーションなど、仕事をこなすにはウェブブラウザが頼りになる最新のアプリケーションインターフェイスです。残念なことに、これは現代の攻撃者にとってウェブブラウザが頼りになる標的であることも意味します。これは、現在の攻撃手法の性質と従来のセキュリティ防御の有効性、あるいはその欠如に大きな影響を与えます。

実際、脅威アクターは、企業が実施している一般的なセキュリティ防御をうまく回避できる回避攻撃手法をますます活用しています。これにより、Secure Web Gateways(SWG)による検査、悪意のあるリンク分析、マルウェア対策分析、サンドボックス、ネットワークトラフィック分析、ドメイン分類に基づく防御など、いわゆる「ソリューション」は数多くあります。これらの攻撃は動きが速すぎて、従来のセキュリティツールでは現代のセキュリティツールに追いつけません。 回避性の高い攻撃テクニック ウェブブラウザをターゲットにしています。また、攻撃者は事実上 Web ブラウザーを標的にしているため、Web ブラウザーを直接防御しないセキュリティ防御は失敗する可能性が非常に高くなります。

このような回避性の高い攻撃手法の 1 つに、多要素認証 (MFA) バイパス攻撃があります。近年、消費者認証と企業認証の両方で MFA の使用が増えているため、攻撃者は MFA を回避する方法を学ぶことに大きな関心を示し、成功を収めています。

MFA バイパス攻撃とは何ですか?

MFAバイパス攻撃とは、サイバー犯罪者がワンタイムパスワード、デジタルトークン、生体認証など、MFAによって提供される追加のセキュリティレイヤーを回避し、機密データやシステムに不正にアクセスするために使用する手法を指します。シングルサインオン(SSO)偽装とも呼ばれるこれらの攻撃により、攻撃者はOkta、LastPass、OneLoginなどのSSOシステムへの信頼を悪用して、複数の関連サービスに不正にアクセスできるようになります。攻撃者は、ソーシャルエンジニアリング、フィッシング、認証プロセスの脆弱性の悪用など、さまざまな方法を使用して MFA バイパス攻撃を行います。

攻撃者が多要素認証システムを標的にすると、パスワード (ユーザーが知っているもの)、トークン (ユーザーが持っているもの)、生体認証 (ユーザーが知っているもの) など、1 つ以上の特定の MFA コンポーネントを悪用しようとします。組織は、こうした攻撃を阻止するために、引き続き努力を続け、適切なセキュリティ防御策を講じる必要があります。

次に、企業に対して成功裏に使用されてきた、より一般的な MFA バイパス手法をいくつか見ていきます。

MFA バイパス攻撃の仕組み

組織を標的とするMFAバイパス攻撃には、一般的に3つのタイプがあります。MFA 疲労、中間者攻撃、トークン盗難です。

MFA 疲労

これは、盗んだユーザー名とパスワードの認証情報を入手した攻撃者が、標的となるユーザーのアカウントに繰り返しログインしようとする攻撃です。MFA 保護の一環としてユーザーがプッシュ通知や SMS 通知を有効にしている組織では、標的となるユーザーにはログイン検証リクエストが殺到します。多くの場合、まったくの不満や偶然によって、ユーザーは最終的にリンクや確認リクエストをクリックすることになります。このアクションにより、脅威アクターは侵入口を得ることになります。

マン・イン・ザ・ミドル

この攻撃は、セッションハイジャックまたはリアルタイムフィッシングと呼ばれることもあります。攻撃者はユーザー名とパスワードの組み合わせのみを標的にする必要がある場合、通常は偽の認証 Web ページを作成し、ユーザーを騙して認証情報を入力させようとします。現在、多要素認証が広く使用されている中、攻撃者はユーザー名とパスワードの組み合わせと、2 番目の認証方法として使用されるデジタルトークンまたはワンタイムパスワードの両方を必要としています。残念なことに、これは多くの人が以前望んでいたよりも簡単に行えることが証明されています。

これらの攻撃では、攻撃者は標的となるエンドユーザーと正規のログインページの間に侵入します。被害者はしばしば、SMS テキストや E メールで MFA プロバイダーへのアクセスを求める帯域外のリクエストを受け取り、ユーザーはこれをクリックしたくなると、悪意のあるプロキシサーバーを経由して正規のログインページに誘導されます。プロキシが一列に並んでいると、攻撃者は認証情報を取得してセッション Cookie を変更し、標的企業のシステムに直ちにアクセスできるようになります。この種の攻撃には、さらに多くのバリエーションが見られると予想されます。

トークンの盗難

ユーザーがセッション中に再認証する必要がないように、「セッションCookie」はエンドポイントデバイスに保存されます。脅威アクターはこれらのセッション Cookie を盗みます。その後、セッション Cookie は攻撃者のセッション内に配置され、ブラウザに実際の信頼できるユーザーが認証されていると思わせます。いったん侵入すると、攻撃者は同じ Cookie を使用して、信頼できるユーザーに対して許可されていたすべての操作を実行できるようになります。

MFA バイパス攻撃の最近の例

MFA 疲労発作のエビデンス

MFAバイパス攻撃は確かに最近話題になっています。その一例として、昨年秋にUberのITシステムが侵害されたことが挙げられます。その「多要素認証疲労」攻撃では、攻撃者は Uber の従業員に Uber の IT 部門の出身者であると確信させました。ユーザーにログインリクエストを承認させようと何度も試みた後、Uber の従業員は 最終的にはすり減るか騙されたかのどちらかでした 承認へ。

マン・イン・ザ・ミドル攻撃の証拠

Redditは今年初め、脅威アクターが従業員のユーザー名、パスワード、二要素認証トークンを正常に取得したと報告しました。Redditの最高技術責任者(CTO)であるクリストファー・スローは、彼らのサイトで事件について詳しく説明しました。「2023年2月5日下旬(太平洋標準時)に、Redditの従業員を標的とした巧妙なフィッシングキャンペーンに気づきました。ほとんどのフィッシングキャンペーンと同様に、攻撃者は認証情報やセカンドファクタートークンを盗もうとして、イントラネットゲートウェイの動作を複製したWebサイトを従業員に誘導するもっともらしい内容のプロンプトを送信しました」とSlowe氏は書いています。

同様の攻撃はTwilioとCloudflareを標的にしました。そして、ストーニーブルック大学の研究者たちも 示した Evilginx、Modlishka、Muraenaなどのキットが広く普及しているおかげで、中間者によるフィッシング攻撃がどのように増加しているか。

トークン盗難攻撃の証拠

Lapsus$として知られるランサムウェアグループが最近、トークン盗難攻撃を行いました。このグループ 購入したと主張 最近閉店した犯罪バザー「ジェネシス・マーケットプレイス」で、エレクトロニック・アーツの従業員から盗まれたセッションクッキーです。盗まれたクッキーにより、サイバー犯罪者はEAのSlackインスタンスにアクセスできました。その結果、Lapsus$は最終的にゲームやグラフィックエンジンのソースコードを含む780GBのEAのデータを盗むことになりました。その後、グループはそのデータを利用してエレクトロニック・アーツを強要しようとしました。

回避型攻撃テクニックの陰湿な性質

これらの回避型攻撃は、脆弱な企業システムやデータがいかに巧みな攻撃者の餌食になるかを示しているため、重要です。また、Web ブラウザを保護するためには進化していないネットワークやエンドポイントのセキュリティツールが急増していることや、その利用が増えていることも利用しています。これらの既存のソリューションは、これらの最新の攻撃の標的となるウェブブラウザではなく、ネットワーク層を保護するために設計されました。

EA、Reddit、Twilio、Uberなどの組織を標的としたMFAバイパス攻撃が成功したのは、MFAをバイパスすることに加えて、コンテンツ分類エンジン、URLフィルタリング、安全な電子メールゲートウェイ、エンタープライズ異常検出機能などの既存のセキュリティツールを回避したためです。標的となったエンドポイントの多くは、企業のセキュリティチームが管理も保護もしなかった個人用デバイスでした。これらのデバイスは攻撃者の標的であり、セキュリティはほとんどまたはまったくありません。

これらの脅威は回避性があるため、回避性の高い適応型脅威 (HEAT) に分類されます。HEAT 攻撃は、リモートワークやハイブリッドワークの増加、クラウドへの移行、サービスとしてのソフトウェア (SaaS) アプリケーションの採用の加速に伴って発生しました。HEAT 攻撃は、現在使用されている検知ベースのセキュリティツールをうまく回避する手法を利用し、今日すべてのナレッジワーカーが使用している生産性向上ソフトウェア、つまり Web ブラウザを標的にします。

MFA バイパス攻撃などの HEAT 攻撃はリアルタイムで発生するため、特に危険です。これにより、Web フィルターなどの従来のセキュリティ対策が更新される前に、悪意のある攻撃者が組織の脆弱性を悪用する可能性があります。これらの HEAT 攻撃の有効性は、テクニカルサポートスタッフになりすましたり、認証要求を繰り返してユーザーを圧倒させたり、個人を騙してセキュリティを危険にさらすといったソーシャルエンジニアリング手法の使用にも起因します。

エンドユーザーの一定割合は必然的にソーシャルエンジニアリングの戦術に屈することになり、これらの攻撃はシグネチャベースの防御には速すぎるため、組織は進行中に攻撃を阻止するための対策を講じる必要があります。このような攻撃に効果的に対抗するには、ユーザーの Web ブラウザー内で攻撃を阻止することが不可欠です。

MFA バイパス防止

MFAバイパスやその他のHEAT技術からの防御を成功させるには、企業はブラウザを可視化する予防的ソリューションにセキュリティ対策を集中させる必要があります。こうした回避型攻撃をリアルタイムで検知して対応できる必要があります。また、セキュリティチームは、攻撃者がウェブブラウザーの内側に置いた場所に力を注ぐ必要があります。脅威アクターがリアルタイムで戦術を調整するのと同じように、企業もウェブブラウザ内で直接セキュリティ防御を実施できる適応型セキュリティ制御を適用する必要があります。これにより、デバイスやシステムに影響が及んでデータが漏洩する前に攻撃を阻止できます。

ブログカテゴリー
タグ付き

Menlo Security

menlo security logo
linkedin logotwitter/x logofacebook logoSocial share icon via eMail