Home-theater-designers
資格情報の盗難事件の増加により、企業は多要素認証 (MFA) を実装して、従業員をパスワード盗難の深刻な影響から保護することを余儀なくされています。しかし、ハッカーは現在、この追加された保護レイヤーを回避するために MFA 疲労攻撃を実行しています。
今日のメイク動画
では、MFA疲労とは何ですか?これらの攻撃はどのように機能しますか?そして、自分を守るために何ができますか?
MFA 疲労攻撃とは何ですか?
MFA 疲労攻撃では、アカウント所有者に MFA プッシュ通知を絶え間なく送り込み、精神的にすり減ったり疲れ果ててログイン要求が承認されるまで続けます。
MFA 要求が承認されると、ハッカーはユーザーのアカウントにアクセスして、好きなように悪用できます。
このような攻撃の主な目的は、MFA プッシュ通知の無限の弾幕を送信して、アカウント所有者に疲労感を与えることです。
やがて、この MFA 疲労により、アカウント所有者はサインイン要求を誤って、または故意に承認して、MFA プッシュ通知を停止するようになります。
MFA 疲労攻撃のしくみ
ますます多くのアプリケーションとサービスで 多要素認証の採用 、MFA プッシュ通知の承認は、アカウント所有者が 1 日に複数回 MFA 要求を承認する必要がある場合に日常的なタスクになる可能性があります。最終的に、MFA プッシュ通知を毎日承認すると、アカウント所有者が不注意になる可能性があります。
さらに、MFA 通知の絶え間ない攻撃は、アカウント所有者を疲れさせ、単に通知が迷惑にならないようにするために、サインイン要求を承認するよう促します。
アカウント所有者はスマートフォンで認証アプリを使用することが多いため、ハッカーは 24 時間年中無休でそれらを標的にして、それらをすり減らせる可能性があります。
MFA 疲労発作で何が起こるか?
MFA 疲労攻撃の最初のステップは、アカウント ユーザーのログイン資格情報を取得することです。沢山あります パスワードをハッキングする一般的な手口 、フィッシング、スパイダー、ブルート フォース攻撃を含みます。
攻撃者は、ユーザーのログイン資格情報を取得すると、多要素認証のプロンプトで攻撃します。
攻撃者は次のことを望んでいます。
- ユーザーは誤ってログイン試行を承認します。
- ユーザーは、MFA 要求の無限の流れによって加えられる心理的圧力のために屈服します。
MFA 疲労攻撃は簡単に自動化できます。そしてしばしば、 ソーシャルエンジニアリング 攻撃を成功させるために MFA 疲労攻撃と組み合わせます。
たとえば、ターゲット ユーザーは、ユーザーに MFA 要求を承認するように要求するフィッシング メールを受け取ります。フィッシングメールは、新しいセキュリティシステムが実装されているため、今後数日で複数の MFA リクエストの集中砲火を受け取る可能性があることをターゲットに通知することもできます.アカウント所有者がログイン試行を承認すると、MFA 要求が停止することをメールにさらに記載できます。
MFA 疲労攻撃から保護する方法
ここでは、MFA 疲労攻撃から安全を保つ方法をいくつか紹介します。
1.追加のコンテキストを有効にする
MFA 要求で追加のコンテキストを有効にすると、セキュリティが向上し、MFA 疲労攻撃から保護されます。
MFA 要求の追加のコンテキストは、どのアカウントが MFA 通知をトリガーしたか、ログイン試行が行われた時刻、ログイン試行に使用されたデバイス、およびログイン試行が行われたデバイスの場所を理解するのに役立ちます。
アカウントにログインしようとしていないときに、見慣れない場所またはデバイスからトリガーされた複数の MFA 要求が表示される場合は、攻撃者がスパムを送信しようとしている兆候です。すぐに そのアカウントのパスワードを変更する 会社のネットワークに接続されている場合は、IT 部門に連絡してください。
多くの MFA アプリでは、この機能が既定で有効になっています。認証アプリに追加のコンテキストが表示されない場合は、アプリの設定に飛び込んで、追加のコンテキストを許可するオプションがあるかどうかを確認してください。
2. リスクベース認証を採用する
リスクベースの認証機能を備えた認証アプリを使用すると、MFA 疲労攻撃に対する防御に役立ちます。このようなアプリは、既知の攻撃パターンに基づいて脅威シグナルを検出および分析し、それに応じてセキュリティ要件を調整できます。
イラストレーターでpngとして保存する方法
既知の脅威パターンには、異常な場所でのログイン試行、繰り返されるログイン失敗、MFA プッシュハラスメントなどが含まれますが、これらに限定されません。
MFA アプリがリスクベースの認証を提供しているかどうかを確認します。その場合は、MFA プッシュ スパムから保護されるように有効にします。
3. FIDO2 認証を実装する
の採用 FIDO2 どの企業でも認証の形式を変更することで、MFA 疲労攻撃を防ぐことができます。
FIDO2 は、バイオメトリクスに基づくパスワードレス認証と多要素認証をユーザーに提供します。ログイン資格情報がデバイスから離れないため、資格情報の盗難のリスクが排除され、攻撃者は MFA 通知スパムを実行できなくなります。
4.検証方法としてプッシュ通知を無効にする
MFA プッシュ通知機能は、使いやすいように設計されています。アカウントの所有者は、[はい] または [許可] をクリックするだけでアカウントにログインできます。
MFA 疲労攻撃は、認証アプリのこの機能を悪用します。認証アプリで検証方法としてこれらの単純なプッシュ通知を無効にすることは、MFA セキュリティを強化する実証済みの方法です。
MFA 要求を検証するために使用できるいくつかの方法を次に示します。
- 数合わせ。
- チャレンジ&レスポンス。
- 時間ベースのワンタイム パスワード。
番号照合または時間ベースのワンタイム パスワードを検証方法として使用する利点は、ユーザーが誤って MFA 要求を承認できないことです。確認プロセスを完了するために必要な情報が必要になります。
認証アプリをチェックして、単純なプッシュ通知の代わりに使用できる MFA 検証機能を確認し、ユーザーに [はい] または [許可] をクリックしてログイン試行を承認させます。
5. 認証リクエストを制限する
認証アプリでのサインイン要求の数を制限すると、迅速な爆撃や MFA 疲労を防ぐのに役立ちます。ただし、すべてのオーセンティケータがこの機能を提供しているわけではありません。
MFA オーセンティケーターで認証リクエストを制限できるかどうかを確認します。その後、アカウントはブロックされます。
6. MFA に関するセキュリティ意識を広める
会社を経営している場合、MFA 疲労攻撃を阻止する最善の方法は、セキュリティ意識トレーニングです。 MFA 疲労攻撃がどのようなもので、発生したときに何をすべきかを従業員に知らせてください。また、MFA 要求の承認を要求するフィッシング メールを見つけられるはずです。
サイバーセキュリティのベスト プラクティスについて従業員を定期的にトレーニングすることは、アカウントの保護に大いに役立ちます。
ミスに巻き込まれないように
多要素認証により、アカウントのセキュリティがさらに強化されます。攻撃者がログイン資格情報にアクセスしたとしても、アカウントを保護します.ただし、MFA 疲労攻撃には注意が必要です。面倒かもしれませんが、屈しないでください。