多要素認証を突破する「MFA Bombing」の 手口と対策を解説

現在でも増え続ける不正アクセスやなりすましに有効な対策の1つとして、多要素認証があります。多要素認証では、ユーザーがログインするときに知識情報（IDやパスワード）や所持情報（セキュリティキーやデバイス）、生体情報（指紋や顔）などの複数の要素で認証します。
しかし、多要素認証を利用していても万全とは言えません。近年、この多要素認証を突破するサイバー攻撃の手口が登場しました。それが「MFA Bombing」です。

「MFA Bombing」とは

MFA Bombingには、色々な呼び方（多要素認証消耗攻撃、多要素認証疲労攻撃、プロンプト爆撃など）がありますが、プッシュ通知を悪用して、ユーザーに不正アクセスを承認させる手口です。
ただ、不審なプッシュ通知が送られてくるだけでは、誰も承認はしないでしょう。しかし、この手口はソーシャルエンジニアリングを活用した人間のミスやエラーを誘う手口なのです。

ソーシャルエンジニアリングを活用したMFA Bombing

ソーシャルエンジニアリングを活用した攻撃と言えば、ユーザーに対して恐怖や快感を与え、リンクをクリックさせるものがあります。しかし、このような人間が正常な判断が出来なくなる精神状態は、他にもあります。MFA Bombingは、その中でも「煩わしさ」「苛立ち」といった感情を活用します。
MFA Bombingでは、不正アクセスを承認させるプッシュ通知を立て続けに何度も送ります。何度も何度も、消しても出てくる通知を前に、人間はかなりの煩わしさを感じることでしょう。すると、人間は注意散漫な状態になり、通知を早く消そうとして誤って不正アクセスや悪質なコードの実行の承認をクリックしてしまいます。
MFA Bombingは、このような流れでサイバー攻撃をします。「煩わしさ」「苛立ち」という感情は、何度も通知を送るだけでなく、羞恥心を煽る画像や音声でも搔き立てるなど、様々な手口を用います。もちろん、攻撃者はこういった悪事を考える想像力が豊かであり、思いもよらない手口でユーザーのミスを誘ってきます。

人間の感情を利用し、多要素認証も突破するMFA Bombingに対して、どのように対策をすればよいのでしょうか。

従業員へのセキュリティ教育

1つは、従業員へのセキュリティ教育です。MFA Bombingは、スマートフォンへのプッシュ通知による攻撃が主であり、全ての従業員が攻撃の対象となりうるでしょう。人間の感情を利用しており、ミスは誰にでも起こりうることではありますが、従業員が「今、攻撃を受けている」と認識しているのとしていないのでは、大きく結果が変わるでしょう。サイバー攻撃の手口は、常に進化しており、予想が難しいため、定期的な従業員へのセキュリティ教育をすると良いでしょう。

全体的なセキュリティを見直す

もう1つ出来る対策は、全体的なセキュリティを見直すことです。いくらセキュリティ教育が行き届いていても、いくらセキュリティに精通していても、人間であればミスは起こってしまいます。やはり、企業の全体的なセキュリティを強固に構築することが最大の防御となります。
ただ一部分を見直すのではなく、全てのセキュリティを見直し、多層防御を構築することこそが最も有効な防御手段となるでしょう。
このように強固なセキュリティを構築したうえで、定期的な見直しとセキュリティ教育を行いましょう。従業員全体に、常にセキュリティに対する認知と懐疑心を持って仕事をしてもらうことが大切です。

ここでは、実際に合ったMFA Bombingの被害について紹介していきます。

Uberが受けた被害

配車サービスや食事デリバリーなどを提供するUber Technologiesが、2022年9月にMFA Bombingによる被害を受けました。攻撃者は、被害者にUberの従業員であることを装って接触し、何度も繰り返される通知を止めるには、その通知を承認するしかないというメッセージを送りました。被害者は、正常な判断が出来ない状態であり、そのメッセージに騙されてしまいました。
攻撃者は、UberのSlack内で不正アクセスの成功を宣言しました。それから複数の従業員のアカウントにアクセスするなどし、最終的には複数のツールの上位権限を手に入れたようです。その後は、Slack内の一部メッセージをダウンロードしたり、請求書管理に使うツールにアクセスしたそうです。しかし、配車サービスや食事デリバリーなどのサービス自体に影響はなく、クラウド内の顧客データへのアクセスの形跡もないことから、被害の規模がはっきりしないようです。この攻撃者は、ハッカーグループ「Lapsus＄」の関係者である可能性が高いとされています。
サービスに影響がなかったとはいえ、多くの情報が流出してしまいました。被害規模もはっきりしないことから、防御や特定が難しい攻撃であることが分かります。
引用：https://cloud.watch.impress.co.jp/docs/column/infostand/1442388.html 

Ciscoが受けた被害

世界最大級のコンピューターネットワーク機器開発会社であるシスコシステムズも、2022年5月にMFA Bombingによる被害を受けました。攻撃者は、シスコが信頼している複数の組織を装い、被害者に対して音声フィッシング攻撃を仕掛けました。その内容は、攻撃者が開始した何度も繰り返されるプッシュ通知を止めるために、その通知を承認するしかないと説得するものでした。最終的に、被害者は通知を承認し、攻撃者は被害者のアカウントでVPNへの侵入に成功しました。侵入後、攻撃者はアクセスを維持し、社内でのアクセス権限を上げるために様々な活動をしたそうです。しかし、攻撃を感知され、攻撃者は排除されました。不正アクセスから数週間の間、攻撃者は再びアクセスを試みますが、失敗に終わったそうです。シスコのセキュリティ部門は、このインシデントに対応していますが、今のところ製品開発や署名などの重要な社内情報へのアクセスは確認されていないそうです。また、この攻撃者もハッカーグループ「Lapsus＄」の関係者であると見られています。
重要な情報が流出していないとはいえ、世界最大級のコンピューターネットワーク機器開発会社に侵入できてしまうMFA Bombingの脅威を物語っています。
引用：https://gblogs.cisco.com/jp/2022/08/cyber-attack-on-cisco/ 

ここまで、MFA Bombingについて解説してきました。
これは、安全性が高いとされていた多要素認証も突破されてしまうため、この手口による攻撃が増えていくことが予想されます。対策も難しいため、この攻撃をよく理解しておくこととセキュリティ全体で多層防御を構築しておくことが重要です。
この機会に、セキュリティ教育と社内全体のセキュリティを見直してみてはいかがでしょうか。