多要素認証（MFA）の防御にへこみをつけるものは何ですか？

多要素認証は、ハッカーがアカウントを乗っ取ることを防ぐための強力な防御策です。 しかし、最近の調査結果によると、Lapsus $とSolarWindsの2つのグループが、MFAの動作方法にへこみを作ったようです。 この投稿では、これが何であるかについて説明します。最も重要なのは、すべての種類の多要素認証が同じように作成されるわけではないということです。

多要素認証（MFA）について

アカウントで多要素認証を有効にしている場合は、アカウントへのログイン時に指定するユーザー名とパスワードに加えて、追加の要素も使用する必要があります。 これは、スマートフォンまたは電子メールで送信されるワンタイムパスワード、指紋、または物理的なセキュリティキーである可能性があります。

MFAフォーム–概要

セキュリティに関する限り、すべてのMFAが同じように作成されるわけではありません。 最近では、Lapsus$データ恐喝ギャングやCozyBearなどのスクリプトキディ– SolarWindsハッキングの背後にいる脅威アクターは、MFA保護の一部を破ることに成功しています。 彼らは、MFAプロンプト爆撃として知られている手法を使用しました。これについては、このブログの後半で説明します。

MFAプロンプト爆撃とは何かを説明する前に、まず、多要素認証の基礎となる2つのフレームワークについて詳しく見ていきましょう。

1. 古い形式のMFA： これらは、電話またはGoogle認証システムなどのモバイルアプリを介して送信されるSMSまたはプッシュ通知を介して送信されるワンタイムパスワード（OTP）です。 この場合、ユーザー名とパスワードを入力する以外に、ログインプロセスを完了するために送信されたワンタイムパスワードも入力する必要があります。
2. FIDO2： これらの形式のMFAは比較的新しいものですが、古い形式よりも強力です。 これらは、ユーザーの使いやすさとセキュリティの両方のバランスをとるために、企業のコンソーシアムによって開発されました。 では、FIDO2は古いフォームとどう違うのですか？ ここでは、デバイスに組み込まれているカメラ、フィンガーリーダー、または専用のセキュリティキーを使用するオプションがあります。 このようなメソッドは、ユーザーが目的のアカウントを使用することを許可されていることを検証します。

MFAプロンプト爆撃とは何ですか？

MFAプロンプト爆撃の概念は、最初に、古い形式のMFAがいかに弱いかを示しています。

多くのMFAプロバイダーが、認証を確認するための電話の受信やプッシュ通知の送信を2番目の要素として許可していることを知っているため、過去に脅威アクターはユーザーの正当なデバイスに複数の多要素認証要求を発行しました。 より具体的には、マンディアントの研究者によると、APT29、ノーベリウム、デュークスの名前でも呼ばれる脅威アクターのコージーベアがこの手法を使用しました。

しかし、いったいどのようにして脅威アクターは認証を利用するために犠牲者をロープで縛ったのでしょうか？

Lapsus $のメンバーは、グループの公式Telegramチャンネルに次のように書いています。彼が眠ろうとしている間、午前1時に従業員に100回電話をかけると、彼はおそらくそれを受け入れるでしょう。 従業員が最初の呼び出しを受け入れると、MFA登録ポータルにアクセスして別のデバイスを登録できます。」

攻撃者が、発信できる呼び出しの数に制限がないという事実を悪用したことがわかります。 さらに、要求は、ユーザーが要求を受け入れるまで、デバイスに送信されます。その後、要求が発生すると、攻撃者はユーザーアカウントにアクセスできるようになります。

非常に驚くべきことに（そして驚くべきことに！）、LapSus$のメンバーはMicrosoftの従業員をだましていると主張しました。 このメンバーは言った 「「 ドイツと米国から同時に従業員のMicrosoftVPNにログインでき、彼らは気付かないようでした。 また、MFAを2回再登録することができました。」

セキュリティ専門家向けのレッドチームハッキングツールの販売者であるマイクグローバー氏は、 「基本的に、多くの形式をとる単一の方法：ユーザーをだましてMFA要求を確認します。 「MFA爆撃」はすぐに記述子になりましたが、これはよりステルスな方法を見逃しています。」 方法は次のとおりです–

アカウントのMFA保護を回避するために多くのレッドチームが使用しているいくつかのテクニックが必要ですか？ ええ、「フィッシング不可能な」バージョンですら。

何が来るのか、どのように緩和を行うのかなどを考えられるように共有しています。最近では、野生で見られるようになっています。

1/n

— _MG_（@_ MG_） 2022年3月23日

• 会社の一部として標的の被害者に電話をかけ、会社のプロセスの一部としてMFAリクエストを送信するように依頼します。
• ターゲットの被害者が最終的に諦め、ノイズを停止するリクエストを受け入れることを期待して、多数のMFAリクエストを送信します。
• 1日1〜2回送信します。 ここでは、MFAリクエストが受け入れられる可能性はまだ高いです。

MFAをへこませるための手法は新しいですか？ おそらくそうではなく、ある研究者がツイートの1つでこれを指摘しました–

Lapsus $は「MFAプロンプト爆撃」を発明しませんでした。それを作成したとして、彼らにクレジットするのをやめてください。

この攻撃ベクトルは、lapsusが問題になる2年前に実際の攻撃で使用されてきたものです。

—グレッグ・リナレス（@Laughing_Mantis） 2022年3月25日

それで、これはFIDO2が攻撃に対して完全な証拠であることを意味しますか？

ある程度、そうです！ これは、FIDO2の場合、認証にはユーザーのデバイスが必要なためです。 FIDO2フォームを使用するMFAは物理マシンに関連付けられており、別のデバイスへのアクセスを許可しようとする1つのデバイスでは発生しません。

しかし、携帯電話を落としたり、壊したり、キーを紛失したり、ラップトップにある指紋リーダーを壊したりした場合はどうなりますか？ または、ハッカーがIT管理者をだまして多要素認証をリセットし、新しいデバイスを完全に登録させた場合はどうなるでしょうか。 また、FIDO2準拠のMFAがオプションではない場合はどうなりますか？

そのとき、FIDO2形式の多要素認証の場合にMFAプロンプト爆撃が行われます–

• リセットバックアップメカニズムが使用されている場合、攻撃者はこの機会に飛びつく可能性があります。
• FIDO2形式のMFAを使用している会社が、機能の実行やネットワークの管理をサードパーティに依存しているとします。 このサードパーティ企業は、弱いMFAフォームを使用して企業のネットワークにアクセスします。 ここでは、FIDO2の目的全体が無効になっています。

NobeliumはどこにでもあるFIDO2をバイパスすることができましたが、この場合、ハッカーは被害者のActive Directoryを悪用して、管理者がユーザーアカウントの作成、削除、変更、または認証権限の割り当てに使用するデータベースツールを悪用することができました。

まとめ

悪意のある攻撃者がMFAを阻止するためのより強力な方法を開発しているため、より強力な形式を使用する必要があるという事実を復活させたいと思います。 そうは言っても、MFAを使用することは、オンラインアカウントの保護に向けた重要なステップです。 読んだ内容が気に入った場合は、この投稿に賛成して、下のコメントセクションで意見を共有してください。