Vectra AI、「SMSベースの多要素認証(MFA)」のリスクを警告
Vectra AI Japan株式会社
MFAのセキュリティ機能の限界を知り、情報漏洩リスクを回避するために必要な仕組みと考え方
ハイブリッドおよびマルチクラウド企業向けのAI主導型サイバー脅威検知・対応のパイオニアであるVectra AI(本社:カリフォルニア州サンノゼ、CEO:ヒテッシュ・セス)は、利用が広がるSMSベースの多要素認証(Multi-Factor Authentication、MFA)のリスクを考察し、対応方法を発表しました。
私たちは日常的にSMSベースの多要素認証を利用しています。ECサイトやサブスクリプションサービスのユーザーには、アカウントのパスワードのリセット、MFA に使用される電話番号の更新、登録された電子メール アドレスの変更、およびアカウントに保存されているクレジット カードの詳細を使用して購入を行う機能が提供されます。これらの機能を利用する際や登録情報を変更するときなどにSMSを使った認証作業が発生します。
ネットを介したサービス提供企業のみならず、企業向けクラウドサービスを使う際にもSMSベースのMFAが使われており、その市場規模は成長しています。2024年01月19日にTechNavio 社によって発表されたレポート<
https://www.gii.co.jp/report/infi1419771-multifactor-authentication-market-japan.html>によると、日本の多要素認証市場は、2023年から2028年にかけて10億8,898万米ドル、予測期間中のCAGRは24.39%で成長すると予測しています。同レポートでは、市場は、クラウドベースの多要素認証ソリューションおよびサービスの出現、多要素認証の採用を拡大するための厳しい政府規制、オンライン取引量の増加によって牽引されており、今後数年間における日本の多要素認証市場の成長を促進する主な要因の1つとして、企業におけるBYOD導入の拡大を挙げています。また、認証目的での統合プラットフォームの採用増加や、IoT環境における相互接続デバイスの採用増加が、市場の大きな需要につながると説明しています。
SMSベースのMFAサービスやプロセスは、スマートフォンさえあれば完了する非常に便利な認証サービスである一方で、プロセスには重要なセキュリティ層が欠けています。例えばAmazon での取引には銀行認証が必要ないため、不正な購入に悪用される可能性があります。また、自分のアカウントに紐付けられた電話があれば、その紐付けられたアカウントにアクセスする簡単な方法があります。携帯電話番号でログインし、その電話番号に送信される認証コードでサインインすることを選択すれば、パスワードの入力を省略して、アクセスできます。
上記のことから、日常的にネットサービスを利用する消費者は、不正アクセスを防ぐためにアカウント情報を定期的に更新して保護することの重要性を再認識する必要があります。電話ベースの認証方法の潜在的なリスクについての認識を高め、デジタル セキュリティの実践について常に警戒しなければなりません。
MFA / OTPの脆弱性
ワンタイム パスワード (OTP) や、ユーザーが入力したメールアドレス宛に認証用のリンク付きメールを送り、リンクをクリックすることでアクセス権を付与する認証方式であるマジック リンクなどの SMS ベースの MFA は普及していますが、セキュリティ上の重大な弱点があります。 これらの弱点は、従来の MFA シナリオに限定されるものではなく、さまざまな SMS ベースの認証方法にも存在します。
Googleアカウントを利用するための電話番号の入力やアカウント更新の重要性
アカウントのセキュリティのために電話番号を更新しないと、自分のアカウントに完全にアクセスできなくなるという、別の厄介な結果が生じるケースがあります。 たとえば、新しい電話番号で Google アカウントを更新しないと、重大なアクセスの問題が発生し、アカウントからロックアウトされるかもしれません。この見落としがあると、たとえパスワードを覚えていたとしても、自分のアカウントが使えなくなります。電話番号を変更したにもかかわらず、Googleアカウント設定でこの情報を更新しなかった場合、意図せずして追加の作業をしなければなりません。この問題は、アカウントのセキュリティと整合性を確保するための重要なステップである検証プロセス中に発生します。 Googleは、高いセキュリティ基準を維持する取り組みの一環として、二要素認証プロセスで確認コードを要求することがよくあります。 通常、このコードは登録された電話番号に送信されます。
もし、アカウントがまだ古い番号に紐づけられている場合は、これらの重要な確認コードを受け取ることができません。 その結果、正しいパスワードを入力したにもかかわらず、ログインプロセスを完了できなくなるのです。 この確認コードへのアクセスの欠如により、事実上、本人確認ができずにアカウントへアクセスができなくなります。さらに、この問題の影響は、メールのチェックやカレンダーの更新ができなくなるだけではありません。 Google ドライブやフォトなどの重要なプラットフォーム、さらには Google を使用してログインするサードパーティのサイトなど、Google アカウントに関連付けられたすべてのサービスへのアクセスが中断される可能性があります。
SMS ベースMFA のセキュリティ面の限界
AmazonやGoogleなど、身近なアプリケーションにおけるSMSベースのMFAにはよい点と課題があります。手軽に利用できる一方で、企業経営者やセキュリティ担当者は以下の5つのSMSベースのMFAのセキュリティ面の限界を認識し、対策することが重要です。
SMS暗号化とマルウェアの脅威
SMSメッセージは暗号化されていないため<https://securityintelligence.com/whats-wrong-with-sms-authentication-two-ibm-experts-weigh-in-on-the-nist-recommendation/>、傍受や不正な読み取りのターゲットになりやすいです。 認証コードなどの機密情報が攻撃者の手に渡り、アカウント侵害につながる可能性があります。 ただし、SMS メッセージの傍受には高度な技術が必要であるため、これが攻撃方法となる可能性は低く、ほとんどの攻撃者はデバイス上でマルウェアを使用して SMS データを吸い上げようとします。
モバイルネットワークへの依存
モバイルネットワークに依存すると、停止が発生、アカウントへのアクセスが SMS ベースの MFAは低くなります。
SS7とSakari Exploits
以前の懸念に反して、Signal System 7 (SS7) プロトコル(加入電話網(公衆交換電話網)を制御するためのプロトコル(通信規約)群の国際的な標準規格)はに対してそれほど脆弱ではなくなりました。ただし、基本的なソーシャル エンジニアリングと最小限のコストで実現できる、Sakari のようなサービスへの SMS の転送の容易さ<https://www.linkedin.com/pulse/new-attack-sms-we-still-using-two-factor-scott-melnick>は、新たな脅威をもたらします。
ソーシャルエンジニアリング
攻撃者はソーシャル エンジニアリング技術を使用して<https://thehackernews.com/2023/09/retool-falls-victim-to-sms-based.html>、個人やモバイルサービスプロバイダーをだまして機密情報を漏洩させたり、MFA 対策を回避して電話番号を新しい SIM カードに転送させたりする可能性があります。
アカウント乗っ取りのための大量番号購入
新たな脅威として報告されているものにSMS ベースの MFA の脆弱性を利用して、攻撃者が電話番号を大量に購入して大規模なアカウント乗っ取りを試みることが含まれます。<https://ja.vectra.ai/resources/attack-anatomies/lapsus>
企業にとって必要な高度なソリューションとは?
SMS ベースの MFA の脆弱性は、特に Amazon アカウント侵害などのインシデントによって浮き彫りになりました。これは企業のデジタル セキュリティ戦略の強化が緊急に必要であることを裏付けるものです。大量の機密データや金融資産がリスクにさらされているため、リスクが大幅に高まる企業にとっては特に重要です。 企業においては、堅牢な MFA メソッドの実装は、個々のユーザーを保護するだけでなく、デジタルインフラ、知的財産を保護し、さまざまなステークホルダーとの信頼を維持することにつながります。企業は、サイバー脅威に対する、より強力な防御を提供する、生体認証やセキュリティキーなどの高度な MFA ソリューションの導入を優先する必要があります。
さらにセキュリティ意識の文化を育み、あらゆるレベルの従業員がリスクを理解し、セキュリティのベストプラクティスに従うようにする必要があります。 サイバー脅威が巧妙化しているだけでなく、事業運営を混乱させ、組織の評判に長期的な損害を与える可能性も増しているため、従業員全体がリスクを警戒することが重要です。
Vectra AIカントリーリードである佐々木 元威は、「Vectra AIは、独自のサイバー攻撃対策ソリューションにMFAを組み込むことで、企業システムやデータへの不正アクセスに対する保護レイヤーを追加し、クライアントのセキュリティ体制を強化します。MFAはパスワードベースの攻撃に関連するリスクを軽減するのに役立つという強みがあります。Vectra AIのサイバーセキュリティソリューションとMFAの統合は、進化するサイバー脅威に対する強固で包括的な保護を実現する方法です。企業経営者の皆さんは、サイバー攻撃からデータとシステムを守るため、セキュリティ担当者だけでなく、社員一人一人のセキュリティ意識の向上に取り組むことが重要です」と述べています。
Vectra AIについて
Vectra AIは、ハイブリッド攻撃の検知、調査、対応におけるリーダーです。Vectra AI Platformは、パブリッククラウド、SaaS、アイデンティティ、データセンターのネットワークにわたる統合シグナルを単一のプラットフォームで提供します。Vectra AIの特許取得済みのAttack Signal Intelligence (TM)により、セキュリティチームは最先端のハイブリッド・サイバー攻撃を迅速に検知、優先順位付け、調査、対応することができます。AI主導の検知に関する35件の特許と、MITRE D3FENDにおける最多のベンダーリファレンスにより、世界中の組織がハイブリッド攻撃者のスピードと規模に合わせて動くために、Vectra AIプラットフォームとMDRサービスを信頼しています。詳細については、https://ja.vectra.ai/ をご参照ください。