Microsoftの多要素認証(MFA)に重大な脆弱性「AuthQuake」が発見された。この脆弱性は、サイバーセキュリティ企業Oasis Securityの研究者Elad LuzとTal Hasonによって2024年6月に発見され、Microsoftに報告された。
脆弱性の詳細
攻撃者は約70分の作業で認証システムをバイパスし、ユーザーアカウントへの不正アクセスが可能となる。特筆すべきは、この攻撃がユーザーへの通知を一切発生させないという点だ。
技術的な問題点
通常30秒で失効するはずの認証コードが最大3分間有効であり、新規セッション生成による試行回数制限の回避が可能だった。1セッションあたり10回までの試行制限も、新しいセッションを作成することで簡単に迂回できた。
対応状況
Microsoftは2024年10月に修正を完了。現在は一定回数の失敗後、約12時間のロックアウトが実装されている。
from:Microsoft MFA AuthQuake Flaw Enabled Unlimited Brute-Force Attempts Without Alerts
【編集部解説】
MFAは現代のセキュリティ対策の要となっていますが、今回の「AuthQuake」脆弱性は、その実装の難しさを浮き彫りにしました。
特に注目すべきは、この脆弱性が単なる実装ミスではなく、RFC-6238というTOTP(Time-based One-Time Password)の標準仕様に関連している点です。時差を考慮して認証コードの有効期間を延長するという、一見合理的な判断が、予期せぬセキュリティホールを生み出してしまいました。
ビジネスインパクト
Microsoft 365の有料ユーザー人に影響を与える可能性があったこの脆弱性は、企業のセキュリティ体制に大きな課題を投げかけています。特に、攻撃の痕跡が残りにくく、検知が困難だったことは、企業のインシデント対応の在り方を見直す契機となるでしょう。
今後の展望
この事例は、MFAという「安全」とされる認証方式にも盲点があることを示しています。今後は以下の変化が予想されます:
- パスワードレス認証への移行が加速
- 生体認証やハードウェアキーなど、より強固な認証方式の採用
- セキュリティ監視システムの強化
読者企業様への提言
AuthQuakeの事例は、セキュリティ対策は「実装」が重要であることを示しています。以下の対策を推奨します:
- MFA設定の定期的な見直し
- レート制限の適切な設定
- 認証失敗時の通知システムの確認
- セキュリティログの監視強化
将来的な課題
クラウドサービスの普及に伴い、同様の実装の脆弱性が他のサービスでも発見される可能性があります。企業はセキュリティ対策を「実装して終わり」とせず、継続的な監視と改善が必要となってきています。