MFA はアカウント乗っ取りの脅威を解決しますか?

クレデンシャルスタッフィングによるアカウント乗っ取り詐欺を実行しようとする犯罪者にとって、多要素認証 (MFA) はハードルを高めますが、攻撃者は MFA を回避する方法を発見しており、つまり MFA だけではアカウント乗っ取りの脅威を排除できないということです。 企業は、ボットの軽減やコンテキストリスクの監視など、MFA のセキュリティを強化するための追加対策を講じる必要があります。

弱点にかかわらず、パスワードのみの認証は明らかに失敗しているため、MFA は大きな前進です。 人間は長い文字列を覚えることができない。そのため、単純で予測可能なパスワードを選択し、アプリケーション間でパスワードを再利用するという近道をとっており、その結果、多くのセキュリティ侵害が発生しています。

しかし、パスワードの失敗と MFA の採用により、次のような MFA に対する攻撃が増加しています。

リアルタイムフィッシングプロキシ

リアルタイム フィッシング プロキシ (RTPP) 攻撃では、詐欺師はフィッシング メッセージを使用して、信頼できるサイトのように見える攻撃者が管理するサイトにユーザーを誘導し、ユーザーに認証情報を入力して、SMS メッセージまたはプッシュ通知の 2 要素認証要求を承認するよう誘導します。 RTPP は資格情報をターゲット アプリに転送し、アクセスを取得します。 攻撃のデモについては、ハッカー兼セキュリティ コンサルタントの Kevin Mitnick によるこのビデオをご覧ください。また、リアルタイム フィッシング プロキシの増加の背景については、 F5 Labs のフィッシングおよび詐欺レポートをご覧ください。

MFA爆撃

MFA 爆撃攻撃では、攻撃者は認証コードを求める不正なリクエストを複数回送信して、ターゲットを騙して認証コードを入手します。 これは、ユーザーがボタンを押すだけで大量のリクエストを簡単に停止できるため、プッシュ通知に依存する認証アプリに対して最も効果的です。 攻撃者は、MFA 爆撃とソーシャル エンジニアリングを組み合わせて、ユーザーにプッシュ通知を受け入れてアクセスを許可するよう促すことがあります。

生体認証のなりすまし

攻撃者は生体認証を回避したこともあります。 結局のところ、私たちはあらゆる場所、触れるほぼすべての滑らかな表面に指紋を残しており、3Dプリンターからグミベアの材料まで、あらゆるものを使用して指紋を収集して複製することができます。 セキュリティ研究者らは、虹彩スキャンだけでなく、顔や音声の認識のなりすましも実証している。 ベンダーはバイパスの試みを検出するために生体認証チェックなどのなりすまし防止技術を開発していますが、攻撃者が最先端の技術を進化させるにつれて、特定の生体認証デバイスが脆弱になる可能性があります。

SIMスワッピング

SIM スワッピングでは、詐欺師がサービス プロバイダーの電話番号を別のデバイスに転送する機能を悪用します。 詐欺師は被害者の個人情報を収集し、サポート担当者をソーシャルエンジニアリングして被害者の電話番号を詐欺師の SIM に転送します。 詐欺師は被害者の電話サービスを制御し、ユーザー宛のテキスト メッセージを受信して、ワンタイム パスワード (OTP) を傍受し、MFA を回避します。