Microsoft MFA認証の重大な脆弱性「AuthQuake」が発覚 – 無制限のブルートフォース攻撃を許容

Microsoft MFA認証の重大な脆弱性「AuthQuake」が発覚 - 無制限のブルートフォース攻撃を許容、4億人に影響の恐れ - innovaTopia - (イノベトピア)

Microsoftの多要素認証(MFA)に重大な脆弱性「AuthQuake」が発見された。この脆弱性は、サイバーセキュリティ企業Oasis Securityの研究者Elad LuzとTal Hasonによって2024年6月に発見され、Microsoftに報告された。

脆弱性の詳細

攻撃者は約70分の作業で認証システムをバイパスし、ユーザーアカウントへの不正アクセスが可能となる。特筆すべきは、この攻撃がユーザーへの通知を一切発生させないという点だ。

技術的な問題点

通常30秒で失効するはずの認証コードが最大3分間有効であり、新規セッション生成による試行回数制限の回避が可能だった。1セッションあたり10回までの試行制限も、新しいセッションを作成することで簡単に迂回できた。

対応状況

Microsoftは2024年10月に修正を完了。現在は一定回数の失敗後、約12時間のロックアウトが実装されている。

from:Microsoft MFA AuthQuake Flaw Enabled Unlimited Brute-Force Attempts Without Alerts

【編集部解説】

MFAは現代のセキュリティ対策の要となっていますが、今回の「AuthQuake」脆弱性は、その実装の難しさを浮き彫りにしました。

特に注目すべきは、この脆弱性が単なる実装ミスではなく、RFC-6238というTOTP(Time-based One-Time Password)の標準仕様に関連している点です。時差を考慮して認証コードの有効期間を延長するという、一見合理的な判断が、予期せぬセキュリティホールを生み出してしまいました。

ビジネスインパクト

Microsoft 365の有料ユーザー人に影響を与える可能性があったこの脆弱性は、企業のセキュリティ体制に大きな課題を投げかけています。特に、攻撃の痕跡が残りにくく、検知が困難だったことは、企業のインシデント対応の在り方を見直す契機となるでしょう。

今後の展望

この事例は、MFAという「安全」とされる認証方式にも盲点があることを示しています。今後は以下の変化が予想されます:

  1. パスワードレス認証への移行が加速
  2. 生体認証やハードウェアキーなど、より強固な認証方式の採用
  3. セキュリティ監視システムの強化

読者企業様への提言

AuthQuakeの事例は、セキュリティ対策は「実装」が重要であることを示しています。以下の対策を推奨します:

  • MFA設定の定期的な見直し
  • レート制限の適切な設定
  • 認証失敗時の通知システムの確認
  • セキュリティログの監視強化

将来的な課題

クラウドサービスの普及に伴い、同様の実装の脆弱性が他のサービスでも発見される可能性があります。企業はセキュリティ対策を「実装して終わり」とせず、継続的な監視と改善が必要となってきています。

【用語解説】

  • MFA(多要素認証)
    パスワードに加え、別の認証手段を組み合わせる本人確認の仕組み。
  • TOTP
    時間ベースのワンタイムパスワード。30秒ごとに更新される6桁の認証コード。

【参考リンク】

  1. Microsoft Security Blog(外部)
    Microsoftが提供する最新のセキュリティ情報と脆弱性対策についての公式ブログ

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Microsoft MFA認証の重大な脆弱性「AuthQuake」が発覚 – 無制限のブルートフォース攻撃を許容