2020年、世界のサイバー犯罪の被害額は1兆ドルを超え、組織の37%がランサムウェア攻撃の影響を受け、61%がマルウェア攻撃の影響を受けています。このような事実は、組織が多くの深刻なサイバー犯罪に対処する必要があることを示しています。ネットワーク、システム、およびデータを保護するために、組織には堅牢なサイバーセキュリティ制御と多要素認証(MFA)のような対策が必要です。
しかし、MFAはどのようなタイプのサイバー攻撃を防ぐのでしょうか。
従来の1要素認証システムでは、パスワードなどの1つの検証要素を提供するだけで、システムやアプリケーションにアクセスすることができます。ハッカーはこれらのパスワードを簡単に盗み、企業のシステムをハッキングすることができます。
MFAシステムでは、ユーザのIDを検証してアカウントへのアクセスを許可するために2つ以上の要素が必要です。MFAは、承認されたユーザが本人であることを高い信頼性で保証するため、不正なアクセスの可能性を最小限に抑えることができます。これらの理由から、MFAはパスワードに比べてシステムをより効果的に保護します。
MFAがサイバー攻撃をどのように防ぐかを理解するために、最初にサイバー攻撃の仕組みを確認しましょう。
フィッシング
2020年、世界中の組織の75%がフィッシング攻撃を経験しました。フィッシングは、データ漏洩で最も頻繁に見られる攻撃でもあります。
フィッシング攻撃ではEメールが武器として使用されます。サイバー犯罪者は、政府機関や銀行など、狙われた被害者が一般的に信頼する人物になりすまします。次に攻撃者は、信頼できる組織から届いたように見える、悪意のある添付ファイルやリンク付きの偽のEメールを作成します。
この目的は、被害者を騙し、攻撃者の利益となる行動をとらせることです。例えば被害者は、自分の資格情報を使用してログインし、提供された(偽の)リンク上で何らかの取引を実行するよう指示されることがあります。攻撃者はそのユーザの資格情報を盗み、そのユーザになりすまして実際のWebサイトにログインし、ユーザの金銭を盗みます。
スピア型フィッシングでは、攻撃者は巧妙に作成された信憑性の高い関連するメッセージで特定の個人や組織を標的にします。多くの場合、ユーザの氏名などの個人的な内容を使用したり、ユーザの最近の行動(オンラインでの購入など)やイベント(結婚式など)に言及したりしてメッセージの信憑性を高めます。
フィッシングと同様に、スピア型フィッシングメールにも行動の呼びかけが含まれています。通常は、ユーザを騙して、アカウントの資格情報や財務情報などの機密データを提供させます。
ホエーリングは、集中的なスピア型フィッシングの一種で、経営幹部などの上級者や著名な被害者を標的とします。そのような人物はサイバーに関する知識が豊富なため、一般的に「通常」のフィッシングの手口は機能しません。そのため、敵はより洗練された方法と、被害者個人向けにカスタマイズされた不正なメッセージを使用します。攻撃者は緊急性を利用して、マルウェアをインストールする添付ファイルを開かせる、または送金させるなど、被害者に何らかの行動をとらせようとします。
キーロガー
キーロガーは、監視プログラムまたはスパイウェアの一種です。多くの場合、サイバー犯罪者はウイルスを使用して被害者のデバイスにキーロガーをインストールします。このプログラムは被害者のすべてのキーストロークを捉え、そのユーザ名、パスワード、セキュリティ質問に対する回答、銀行やクレジットカードの詳細、訪問したサイトなどを記録します。次に、サイバー犯罪者はこの機密情報を悪意のある目的に使用します。
ブルートフォース、辞書、およびクレデンシャルスタッフィング攻撃
ブルートフォース攻撃では、サイバー犯罪者はプログラムを使用して可能な限り多くのユーザ名/パスワードの組み合わせを生成し、少なくともその1つで企業のシステムにアクセスできることを期待します。ブルートフォース攻撃はきわめて一般的で、サイバー犯罪者にとっては以下のような多くのメリットがあります。
Webサイトにスパム広告を出し、その広告がクリックまたは表示されたときに収入を得る
行動を追跡するスパイウェアでサイトの訪問者を感染させ、そのデータを盗み、これを業者に(またはダークウェブで)販売する
ユーザのアカウントをハッキングして個人データ、財務データ、または金銭を盗む
マルウェアを拡散、または企業のシステムを乗っ取り、業務を妨害する
リバースブルートフォース攻撃では、攻撃者が「password」や「123456」などの一般的なパスワードを試してユーザ名を総当たり攻撃し、多くのアカウントにアクセスしようとします。
辞書攻撃は、ブルートフォース攻撃の一般的なタイプで、攻撃者は可能なパスワードの辞書を使用してすべてを試し、アクセスしようとします。
クレデンシャルスタッフィング攻撃は、パスワードを利用したブルートフォース攻撃の一種です。多くのユーザが複数のアカウントで同じユーザ名/パスワードを使用することが頻繁にあります。攻撃者はこの事実を利用してクレデンシャルスタッフィング攻撃を行い、資格情報を盗み、これを使用して多くのアカウントにアクセスしようとします。場合によっては、データ漏洩によって、またはダークウェブから1つの組織の資格情報を取得し、これを使用して別の組織のユーザアカウントにアクセスすることがあります。攻撃者は、少なくとも同じ資格情報の一部を使用して以下の操作を実行できることを期待します。
不正に利用されたアカウントへのアクセスを販売する
IDを盗む
詐欺行為を行う
企業秘密、個人情報(PII)、財務情報、知的財産など、企業の機密情報を盗む
企業に対してスパイ行為を働く(産業スパイ)
中間者攻撃
MITM攻撃では、攻撃者はユーザと他者との接続を盗聴します。攻撃者はこの間の通信を観察または傍受し、ユーザの資格情報や個人情報を盗む、データを壊す、またはセッションを乗っ取るなどして通信を妨害します。
これらのすべてのサイバー攻撃は、アカウントの資格情報の取得に関連しています。MFAでは、アカウントにアクセスするためにユーザに追加情報または資格情報の提供を求めます。このため、攻撃者がパスワードを盗み出せたとしても、MFAに必要な追加の認証要素を盗んだり不正に使用したりすることはほぼできません。この理由からMFAはサイバー犯罪者を防ぎ、以下を含む多様なサイバー攻撃に対抗することができます。
フィッシング、スピア型フィッシング、ホエーリング
攻撃者は、ユーザの資格情報を盗むためにフィッシング攻撃を開始することができます。しかし、ユーザのアカウントがMFAによって保護されていれば、攻撃者はアカウントにアクセスすることはできません。これは、システムにアクセスするために必要な別のデバイス(携帯電話など)に送信されたワンタイムパスワード(OTP)、指紋、その他の生体要素など、他の認証要素をフィッシングメールでは提供できないからです。
攻撃者がユーザを騙してその資格情報を入力させようとする攻撃では、WebAuthnなど特定のタイプのMFAは、ユーザがログインしたシステムからYubikeyや指紋を入力するよう求めます。攻撃者はこのような詳細情報を入手できないため、システムとユーザが保護されます。
キーロガー
キーロガーはシステムに入力されたすべてのパスワードを取得できます。しかし、MFAを有効にしている場合、ハッカーはパスワードにアクセスするだけでは不十分です。ログインするには、別の認証要素にもアクセスする必要があります。例えば、MFAがモバイル認証アプリで設定されている場合は、承認されたユーザはそのモバイルデバイスでサインインし、認証要求を受け入れる必要があるだけです。この第2のデバイスにアクセスできなければ、ユーザのシステムにキーロガーがインストールされている場合でも、サイバー犯罪者はハッキングすることができません。
クレデンシャルスタッフィング
サイバー犯罪者が複数の場所で盗んだユーザ名とパスワードのリストを自動的に同時に試すクレデンシャルスタッフィング攻撃を無効にするには、MFAが非常に有効なアプローチです。ただし、MFAでは、サイバー犯罪者は認証とログインのために追加の情報を必要とします。犯罪者はこの情報にはアクセスできないため、組織のシステムに不正にアクセスすることはできません。
ブルートフォース攻撃
攻撃者は、ブルートフォース、リバースブルートフォース攻撃、または辞書攻撃を利用して、機能するユーザ名とパスワードを見つけようとすることがあります。しかし、MFAシステムが求める他の認証要素を知らない、または持っていないため、システムにアクセスすることはできません。
MITM攻撃
MFAは、MITMなどのより高度な攻撃にも対抗できます。ハッカーや悪意のあるプログラムがユーザとアプリケーションのやり取りに入り込み、ユーザが入力した情報を取得したとしても、MFAは、別のデバイスから資格情報を提供するようユーザに求めます。これによって、ユーザとアプリケーションの間の通信を盗聴者が傍受または操作することを防止できます。携帯電話認証機能などのプッシュベースの認証は、ユーザに不便を感じさせずにセキュアなMFA機構を提供するために非常に適しています。
例えば、MITMプログラムが侵入したノートパソコンからユーザがアカウントにログインした場合を考えます。しかし、その企業ではMFAを設定しているため、ユーザはログインを完了するためにOneLogin Protectなどの電話アプリを使用する必要があります。ネイティブのモバイル認証アプリは電話から認証システムにコードを送信し、ログイン安全に完了します。ユーザの電話やアプリによって生成されたワンタイムコードにハッカーはアクセスできないため、侵害を防ぐことができます。
WebAuthnとも呼ばれるWeb Authentication APIは、ユーザがウェブアプリケーションへのアクセスを試みるときのセキュリティを一層強化します。認証はハードウェア・セキュリティ・モジュールによって支えられており、承認されたユーザだけがアクセスできるプライベートキーを安全に保存できます。WebAuthnNは、弱いパスワードの代わりに強力な公開鍵暗号を使用して承認されたユーザを認証し、MITM攻撃の脅威を軽減します。
ランサムウェア(エクストーションウェア)は、組織に関わるもう1つのサイバーセキュリティの問題として深刻さを増しています。例えば米国では、2019年から2020年にかけて、サイバーセキュリティ攻撃が139%増加しました。実際に、2020年第3四半期だけで1億4520万件といった驚異的な数の事案が発生しています。身代金の支払いも311%増え、暗号通貨で約3億5千万ドルに達しました。
ランサムウェアはマルウェアの一種で、攻撃者はユーザのシステムにこれを密かにインストールします。このプログラムは、ユーザのファイルやデータを暗号化します。ロックされたこれらのファイルを復号化してユーザのアクセスを復元するために、攻撃者は被害者に身代金を要求します。
MFAは、一般的なサイバー攻撃に対抗するだけではなく、ランサムウェア攻撃の防止にも効果的です。ランサムウェア攻撃は、攻撃者がアカウントの資格情報にアクセスできたときに始まります。ただし、MFAを使用していれば、標的のアカウントにアクセスするために必要な追加情報が攻撃者の手に渡りません。これにより、攻撃者をシステムから遠ざけ、攻撃を防ぐことができます。
さらに、不正なログイン試行によってIT管理者が予期しないMFA認証要求を受け取り始めると、警告が発行されます。管理者は、このような攻撃者を排除するために即座に行動を起こすことができます。MFAを使用することで、組織はランサムウェア攻撃を防ぎ、高額な恐喝から組織を守ることができます。
このため、OneLoginのSmartFactor AuthenticationTMなどのコンテキスト認識型の適応型MFAソリューションが非常に有効です。SmartFactor Authenticationは、ユーザの場所、デバイス、行動などの幅広い入力を分析し、ログインに必要な認証要素の数を調整します。同様に重要なのは、各ログインのリスクレベルを評価し、リアルタイムで認証要件を動的に調整することです。その結果、ランサムウェア攻撃から確実に組織を守ることができます。
MFAは、完全なセキュリティを保証したり、すべてのサイバー攻撃を防いだりすることはできません。しかし、高価値のシステムやアカウントを守り、安全なEメールのアクセスを確保し、盗まれた資格情報の有効性を制限することができます。最も重要なのは、システムを保護して多様なサイバー攻撃に対抗するために、MFAによって認証がさらに強化される点です。MFAは、現代のサイバー脅威の状況における最も信頼性の高いサイバーセキュリティアプローチであるZero Trustの実現においても非常に重要です。