インターネットは、企業やユーザーに危害を加えようとする人々からの存続に関わるリスクに、かつてないほど直面しています。多くの組織はアイデンティティとセキュリティの間に繋がりがあることを理解していますが、最新のセキュリティ戦略においてアイデンティティがどれほど基礎的であるかを完全に把握している組織はほとんどありません。アイデンティティセキュリティにギャップがある組織は、侵害や違反を経験するリスクが著しく高まります。
攻撃者が適切なIDを制御すると、ネットワークに侵入し、内部に侵入した後にラテラルムーブメントを行い、詐欺を促進し、機密データを抽出することができます。言うまでもなく、ブランドの評判と顧客ロイヤリティを一晩で損なう可能性があります。
従来の境界がなくなったため、人々は機密データやリソースに最も早くアクセスできる手段となっています。ID管理とは、人々を最もスケーラブルな防御手段として保護することです(最大の弱点としてではありません)。
IDベースの攻撃が急増しており、ますます高度化し、確立されたセキュリティ制御を意図的に回避するように設計されています。
MFA疲労とは何ですか?また、攻撃者はどのように攻撃に利用するのですか?
多要素認証(MFA)疲労(別名 MFA プロンプトスパム/MFA ボミング)は、攻撃者がユーザーの認証アプリにプッシュ通知を大量に送りつけ、ユーザーが誤って承認してしまうことを期待して、アカウントまたはデバイスへの侵入を試みる手法です。
これは、よく知られており、非常に現実的な攻撃ベクトルになっています。Mandiantは、MFAプロンプトスパム技術を使用しているロシアのAPTに関する次のレポートを作成しました。
この攻撃の要点は以下の通りです。
- 敵対者がすでに他の手段 (最も一般的なのはフィッシング) によって主要なユーザー名/パスワード認証情報を盗んでいます。
- 攻撃者が盗まれた認証情報を使用して、プッシュMFAで保護されたアカウントにサインインしようとし、これを連続して複数回実行します。
- ターゲットは、(通常は何らかのモバイルアプリへの)有効なプッシュ通知を何度も受信します。
- 場合によっては、攻撃者がヘルプデスクまたはIT担当者を装って、アクセス試行を受け入れるように促すメッセージまたはメールをターゲットに送信することもあります。
- 最終的に、標的はこのMFA通知の洪水にうんざりし、「いいえ、私ではありません」ではなく、「はい、私です」をタップします。
この一連の出来事を考えると、ユーザーがこのような状況下でプッシュ通知を受け入れることを選択するのも理解できます。エンドレスなMFAプッシュ通知を受信した場合、MFAリクエストを承認せず、組織の人間だと主張する見知らぬ人と話さないようにガイダンスを提供できます。しかし、これだけでは十分ではありません。私たちはまだ、仕事をこなそうとしているだけのユーザーに大きな負担をかけています。
ここでの問題は、ユーザーの行動や脆弱な多要素認証(MFA)ではなく、これらの種類の攻撃が勢いを増す前に阻止するように設計されたシステムがないことです。
MFAを最大限に活用する方法、そしてどのように変化したか?
ほとんどの組織がIDベースの攻撃から防御するためにMFAベースの認証メカニズムを実装した場合、シークレットクエスチョン、SMS、音声、またはメールベースのワンタイムパスワード(OTP)などの低保証要素を使用して、パスワードをブートストラップまたはプライマリー認証器として大きく依存していました。その後、悪意のあるアクターの攻撃方法は進化し、安全であると思われているがそうではない認証要素(たとえば、SMSベースのOTP)を標的にするようになりました。低保証要素にはまだ価値がありますが、組織は高保証要素を通じて重要なインフラストラクチャを保護するために、リスクベースのアプローチを採用する必要があります。
Oktaでは、MFA疲労攻撃から保護するための多層防御アプローチを採用しており、データの高速アクセスによる生産性を確保する必要性と、機密データを保護する必要性のバランスを取るのに役立ちます。私たちのアプローチは、プロアクティブとリアクティブの両方です。
従業員のほとんどは、Okta FastPassを介した、高保証のパスワードレス認証をデフォルトで使用して認証します。FastPassは、デバイスとユーザーの両方からの情報を使用して、ユーザーをシームレスに認証し、データへのアクセスを許可します。従業員がFastPassを使用できない場合、Number Challengeを使用したプッシュ通知に依存します。これは、攻撃者が複製するのがはるかに困難です。また、従業員が低保証の要素を使用した場合は、Oktaが従業員がアクセスできるサービスを制限します。これは、従業員が正常にフィッシングされた場合に、攻撃者によるラテラルムーブメントを防止するのに役立ちます。
従業員がフィッシング攻撃を受けた場合、攻撃者はセッションが失われた場合にアクセスを維持するために、自分が管理する新しい認証要素を追加しようとします。Oktaでは、セキュリティ方法(MFAに使用されるものを含むサインオン資格情報)に変更が加えられた場合にユーザーに通知するプラットフォーム機能を使用しています。この機能により、ユーザーはアカウントへの変更を迅速に警告され、報告された変更を自分で行っていない場合は、サイバーセキュリティチームに何か問題がある可能性があることをすぐに報告できます。
私たちは、Okta Workflowを通じていくつかのイベントをトリガーする「疑わしいアクティビティの報告」ボタンを活用しています。サイバーセキュリティチームにPagerDutyアラートで警告するだけでなく、フローはユーザーのアカウントを一時停止するため、侵害された場合、攻撃者はそれを継続して利用できなくなります。Okta Workflowは、ユーザーが持っている可能性のあるアプリケーションセッションを終了するために、いくつかの重要なシステムへの呼び出しも開始します。これにより、攻撃者はアプリケーションセッションの有効期限が切れるのを待っている間に、SlackやGoogle Workspaceなどのアプリで既存のセッションを使用することを防ぎます。これらのプラットフォーム機能を重ねることで、Oktaのセキュリティを維持できます。
組織はどのようにしてMFAのベストプラクティスに移行できますか?
無数のエンジニアリングチームおよび製品チームとの協力に基づく私たちの観察に基づいて、MFA 機能のセキュリティを強化し、MFA 疲労攻撃に対する脆弱性を軽減するためのヒントを次に示します。
1.フィッシング耐性のある認証要素への登録を義務付け、それらを必要とするアクセスポリシーを設定する
最近の攻撃や侵害は、フィッシングやソーシャルエンジニアリング攻撃の高度化がますます進んでいることを示しています。これは非常に蔓延しており、米国政府からのOMB M-22-09覚書では、特にWebAuthnなどのより強力な認証方法の使用を求めています。
SMS、メール、音声OTP、秘密の質問、プッシュ通知は、フィッシングに対する耐性が低い、適度に安全な認証要素です。公開鍵暗号を利用するFIDO(Fast Identity Online)プロトコルを使用して、フィッシングに強い認証要素でリスクの高いデータを保護し、共有コードまたはシークレットの使用を排除します。そうすることで、組織は攻撃者がアクセスコードを傍受して再生する能力を低下させます。フィッシングに強い認証要素は、送信元と宛先の両方の有効性も検証するため、意図したサイトとユーザーのデバイス間でのみ発生できる認証アクションが制限されます。
2. パスワードレス化:認証システムとしてのパスワードへの依存をなくす
パスワードは本質的に共有シークレットであり、低保証の要素です。Okta FastPassのようなソリューションでパスワードレス化を進めることで、フィッシング、クレデンシャルスタッフィングなどを含む、パスワードベースの攻撃の大部分を削減または排除し、認証時間を短縮してシームレスなエクスペリエンスを提供できます。
3. リスクベース認証と認証要素の選択を組み合わせる
すべてのログインにMFAを適用することに加えて、特に機密性の高いアプリケーションへのログインには、より強力な認証要素を要求するリスクベース認証の追加を検討する必要があります。これらの強力な要素は、最終的にパスワードレスに移行するための優れた基盤を構築するのにも役立ちます。
アイデンティティベースの攻撃を阻止する方法の詳細、およびOktaがこれらの種類の攻撃を検出するのにどのように役立つかの詳細をご覧ください。
