Last Updated on 2024-07-08 07:00 by 門倉 朋宏
MFA(多要素認証)爆撃、または「プッシュ爆撃」「MFA疲労」とも呼ばれる攻撃は、サイバー犯罪者が多要素認証を使用して保護されたアカウントに侵入するための手法である。この攻撃では、犯罪者は盗んだ認証情報を使用してログインを試みたり、ユーザーのパスワードを何度もリセットしようとする。これにより、ユーザーはログインを承認するか、パスワードを変更するよう求めるプッシュ通知やメッセージによって埋め尽くされる。犯罪者は、ユーザーが誤って選択をタップするか、メッセージに従ってしまうほどうんざりしてしまうことを期待している。
最近、これらの攻撃はさらに進化している。ブラン・クレブスのブログによると、連続する通知の圧力に耐えられる場合、犯罪者は救助に来たふりをしてユーザーに電話をかける。ある例では、犯罪者はターゲットの電話にApple IDのパスワードリセット通知を大量に送り、ユーザーがデバイスを使用する前に「許可する」か「許可しない」かを選択する必要があった。100回以上の通知を拒否した後、被害者はAppleサポートを装った偽の番号から電話を受け、パスワードリセットを引き起こし、デバイスに送信された一度限りのパスワードリセットコードを渡すよう促された。このコードを手に入れることで、犯罪者は被害者のパスワードを変更し、アカウントからロックアウトすることができた。しかし、この場合、被害者は電話の相手が信頼できないと感じ、個人情報の提供を求めたところ、名前を間違えられた。
別の被害者は、新しいデバイスを購入し、新しいApple iCloudアカウントを作成した後も通知が続いたことから、攻撃が彼の電話番号をターゲットにしていたことを学んだ。また、あるターゲットは、Apple Recovery Keyをアカウントに設定すると通知が完全に停止するとAppleから告げられたが、クレブスと被害者はこれを疑問視している。MFA爆撃攻撃が始まると、耐え忍び、「許可する」をクリックしないよう注意する以外にできることはあまりない。もし電話がかかってきた場合、Appleサポートが突然電話をかけてくることはないので、どんなに都合が良くても相手を信用してはいけない。Apple IDの制御を失った場合は、iforgot.apple.comにアクセスしてアカウント回復プロセスを開始する。
【ニュース解説】
多要素認証(MFA)を用いたアカウント保護は、サイバーセキュリティの重要な柱の一つです。MFAは、ユーザー名とパスワードの入力に加え、SMSによるコード送信、アプリによるコード生成、またはプッシュ通知への応答など、少なくとも2つの認証要素を要求することで、アカウントのセキュリティを大幅に向上させます。しかし、このセキュリティ強化手段に対しても、サイバー犯罪者は新たな攻撃手法を開発し続けています。
最近の進化した攻撃手法として、「MFA爆撃」または「プッシュ爆撃」と呼ばれるものがあります。この攻撃では、犯罪者は盗んだ認証情報を利用してログインを試みたり、ユーザーのパスワードを何度もリセットしようとします。これにより、ユーザーはログインの承認やパスワードの変更を求めるプッシュ通知やメッセージで埋め尽くされます。犯罪者の目的は、ユーザーが誤って承認をタップするか、通知にうんざりして従ってしまうことです。
さらに、これらの攻撃は、耐え忍ぶユーザーに対しても新たな手段を取ります。例えば、Apple IDのパスワードリセット通知を大量に送り、ユーザーが「許可する」か「許可しない」かを選択する必要がある状況を作り出します。そして、通知を拒否し続けたユーザーに対して、Appleサポートを装った電話をかけ、パスワードリセットを促し、最終的にはアカウントの制御を奪うことを試みます。
このような攻撃は、電話番号がターゲットにされることも明らかにしています。新しいデバイスやアカウントを作成しても、同じ電話番号を使用している限り、攻撃が続く可能性があります。Apple Recovery Keyの設定が解決策として提案されていますが、その有効性には疑問が残ります。
MFA爆撃攻撃への対処法としては、耐え忍び、不審な通知や電話には応答しないことが重要です。特に、Appleサポートが突然電話をかけてくることはないため、そのような電話には注意が必要です。アカウントの制御を失った場合は、公式のアカウント回復プロセスを通じて対応することが推奨されます。
この攻撃手法の進化は、MFAの重要性を損なうものではありませんが、ユーザーがより警戒し、セキュリティ意識を高める必要があることを示しています。また、サイバーセキュリティ業界においては、このような新たな攻撃手法に対抗するための対策の開発が急務となっています。
“多要素認証を狙う新手法「MFA爆撃」がサイバー犯罪の脅威に” への1件のコメント
MFA(多要素認証)爆撃やプッシュ爆撃といった新たなサイバー攻撃手法の進化について知ると、ITエンジニアとしては非常に興味深いものがあります。これらの攻撃は、私たちが普段当たり前のように依存しているセキュリティシステムの弱点を巧みに突いており、サイバーセキュリティの重要性を改めて認識させられます。
特に、犯罪者がユーザーに対して大量のプッシュ通知を送り、そのうっとうしさによって誤って承認させようとする手法や、Appleサポートを装って電話をかけるという行為は、従来の攻撃手法よりもさらに巧妙であり、ユーザーが疲労やストレスによってセキュリティをおろそかにしがちであることを利用しています。これは、私たち開発者が設計するシステムが、単に技術的なセキュリティ機能を備えているだけでなく、ユーザーの心理的側面も考慮する必要があることを示唆しています。
また、Apple Recovery Keyの設定が攻撃を防ぐための解決策として提案されている点については、実際にどれだけ効果があるのか興味深いです。これは、セキュリティ対策が常に進化し、新たな攻撃手法に対応するため