多要素認証（MFA）は、アカウントの認証情報が侵害された場合でも、第2の要素を要求することでセキュリティを強化するために設計されました。しかし、攻撃者は現在、MFAプロンプトボミングとして知られる手法を用いて、悪意のあるログインリクエストをユーザーに承認させることで、この保護を回避しています。 プッシュベースのMFAを使用している組織は特に脆弱です。**Specops Secure Access**のようなツールは、この脅威を軽減するように設計されています。この手法がどのように機能するかを見てみましょう。 ## MFAプロンプトボミングの仕組み この攻撃は、以下の3つの主要な要素に依存しています。 * 侵害されたパスワードデータベースからしばしば取得される、有効なアカウント認証情報。 * VPN、**Microsoft 365**、**Okta**、または**Duo**のような、プッシュベースのMFAを利用するログインポータル。 * 各ログイン試行の通知を受け取るターゲット。 攻撃者は、ターゲットにMFAプロンプトを大量に送信し、誤って、またはフラストレーションから、最終的にいずれかを承認することを期待します。この戦術は、攻撃者がITサポートを装ってターゲットをソーシャルエンジニアリングし、リクエストの承認を促す、vishing（ボイスフィッシング）コールと組み合わされることがよくあります。危険なのは、攻撃者が一度成功すればよいという点です。 プロンプトが承認されると、攻撃者は正規のユーザーとしてアクセス権を取得します。ログインは正規に見えるため、セキュリティシステムがアラートを発生させる可能性は低いです。 ## **Cisco**の侵害 2022年の**Cisco**の侵害は、この手法の有効性を示しています。**Yanluowang**ランサムウェアグループに関連する攻撃者は、**Cisco**従業員の個人用**Google**アカウントを侵害し、**Cisco** VPNパスワードを含むブラウザに保存された認証情報にアクセスしました。 その後、攻撃者は従業員の携帯電話にMFAプロンプトを送信しました。当初は成功しませんでしたが、信頼できるサポート担当者を装った様々なアクセントの電話をかけ、最終的に従業員をプッシュ通知の承認へと説得しました。 これにより、攻撃者は従業員としてVPNにアクセスできるようになりました。その後、自身のデバイスをMFAの永続化のために登録し、権限を昇格させ、**Citrix**サーバーとドメインコントローラーにアクセスし、検出される前に約2.8GBのデータを窃取しました。堅牢なセキュリティ体制を持つ**Cisco**に対するプロンプトボミングの成功は、その潜在的な危険性を強調しています。 ## なぜプッシュMFAでもリスクがなくなるわけではないのか プッシュベースのMFAは、ユーザーがログインの承認または拒否を行う際に情報が限られているため、課題となります。リクエストの送信元、使用されているデバイス、またはログイン試行を開始したかどうかについての明確な詳細が欠けています。単独では管理可能ですが、繰り返されるプロンプトは、ユーザーが潜在的な攻撃を認識するのではなく、システム障害だと仮定する可能性があります。 偽のITサポート担当者からのタイミングの良い電話と組み合わせると、状況はさらに複雑になります。ユーザーは正規のリクエストに対応していると信じ、誤って、すでに認証情報を持っている攻撃者にアクセスを許可してしまいます。 ## プロンプトボミングを防ぐ3つの方法 ### 1. 疲労攻撃やフィッシング耐性のあるMFA要素を使用する プッシュ通知はMFAの最も弱い形態です。FIDO2セキュリティキー（**YubiKey**）、ハードウェアトークン、または認証アプリからの番号マッチングコードなどのフィッシング耐性のある要素は、悪用がより困難です。 **Specops Secure Access**は15以上のIDプロバイダーをサポートしており、Windowsログオン、RDP、VPN接続に対して疲労攻撃耐性のあるオプションを提供し、組織が高リスクアクセスポイントのプッシュのみのMFAを置き換えることを可能にします。  ### 2. ソースで侵害されたパスワードをブロックする プロンプトボミングは、攻撃者が有効なパスワードを持っていることに依存しています。侵害されたパスワードのライブデータベースに対して**Active Directory (AD)**を継続的にスキャンし、一致が見つかった場合にリセットを強制することで、攻撃の基盤を排除します。デフォルトのADパスワードポリシーは、再利用された、増分された、または侵害されたパスワードを検出するには不十分です。**Specops Password Auditor**は、ADの無料の読み取り専用スキャンを提供し、侵害されたパスワードや非アクティブな管理者アカウントなどの脆弱性を特定します。  ### 3. ログインにリスクシグナルを追加する 地理情報、デバイスの姿勢、ログイン時間などの要因を考慮した条件付きアクセスポリシーは、ユーザーにプロンプトが送信される前に、ブロックしたり追加の認証を要求したりできます。これにより、ユーザーの行動への依存が減り、疑わしいログインがアカウント侵害につながるのを防ぐためにリアルタイムのコンテキストが導入されます。 ## MFAは依然として重要 MFAプロンプトボミングはMFAを無効にするものではありませんが、特定の要素の限界を浮き彫りにします。コンテキストなしで承認リクエストが繰り返しトリガーされる場合、制御は操作に対して脆弱になります。 プッシュ通知がデフォルトの第2要素である場合は、その決定を再考してください。番号マッチングまたはフィッシング耐性のある方法はMFAを強化しますが、侵害されたパスワードのスキャンは、攻撃者が最初にアクセス権を取得するリスクを軽減します。より堅牢なMFAソリューションを検討して、IDセキュリティを強化してください。