多要素認証消耗攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. 多要素認証消耗攻撃
             

多要素認証消耗攻撃

多要素認証消耗攻撃(MFA Fatigue Attack)とは、多要素認証(MFA)を導入しているシステムのユーザーに対し、継続的に認証要求を送信し続けることで、ユーザーが誤って承認してしまうように仕向ける攻撃手法です。この攻撃は「MFA プッシュ通知爆撃」や「通知疲労攻撃」とも呼ばれ、特にプッシュ通知やワンタイムパスワード(OTP)など、ユーザーの承認操作を必要とするMFA手段に対して有効です。

この攻撃の狙いは、ユーザーが頻繁に届く認証リクエストに疲れて混乱し、最終的に許可をしてしまうことです。これにより、攻撃者は正規ユーザーとしてシステムにアクセスでき、アカウントの乗っ取りや情報の窃取などが可能になります。

多要素認証消耗攻撃の仕組み

多要素認証消耗攻撃では、次のような手順でユーザーに圧力をかけ、誤った承認を引き出すことを目指します。

  1. 認証情報の取得:攻撃者がまず、対象ユーザーのIDとパスワードを不正な手段(フィッシング、漏洩データの悪用など)で入手します。
  2. 認証要求の連続送信:攻撃者がシステムに対して認証を試みると、ユーザーに対してプッシュ通知や認証リクエストが送信されます。攻撃者はこれを繰り返すことで、短期間に大量の認証リクエストをユーザーに送り続けます。
  3. ユーザーの疲労誘発:大量の通知により、ユーザーは煩わしさや混乱を感じるようになり、「誤操作」によって認証を許可してしまう可能性が高まります。特に、ユーザーが業務中や就寝中などで集中できないタイミングを狙うことで成功率を上げます。
  4. アクセスの成功:ユーザーが誤って認証を許可してしまった瞬間に、攻撃者はユーザーアカウントに正規の権限でログインし、システムへのアクセスを確立します。

多要素認証消耗攻撃の特徴

1. プッシュ通知MFAを悪用

多要素認証消耗攻撃は、特にプッシュ通知型のMFAに対して効果的です。このタイプの認証では、ユーザーが「許可」または「拒否」を選択するだけで認証が完了するため、誤って許可するリスクが高まります。OTPのようにユーザーがコードを入力するタイプのMFAでは効果が低いですが、同様の疲労を引き起こす可能性はあります。

2. 認証情報の入力が不要

この攻撃は、攻撃者が認証情報を再入力する必要がなく、ユーザーの心理的な負担に依存しているのが特徴です。たとえば、連続的に届く通知を「誤って承認」させるため、ユーザーの注意力が分散されているタイミングや心理的な焦りを狙います。

3. シンプルで低コストな攻撃

多要素認証消耗攻撃は、IDやパスワードが分かっていれば誰でも実行可能で、特別なツールや高度な技術を必要としません。複雑なプログラムやリソースを必要とせず、簡単に実行できるため、実行コストが低く済むのも特徴です。

多要素認証消耗攻撃への対策

多要素認証消耗攻撃に対抗するには、以下のような対策が有効です。

1. 通知頻度や上限の設定

システム管理者は、同一のIPアドレスやデバイスから複数回にわたって認証リクエストが発生した場合に制限をかけ、一定回数の通知後にリクエストをブロックするなどの対策が有効です。これにより、攻撃者が大量の通知を送り続けることを防止できます。

2. ユーザーへのセキュリティ教育

MFAの重要性や消耗攻撃のリスクについてユーザー教育を行い、認証リクエストが大量に送信される場合は「許可」を選択せず、セキュリティ担当者へ連絡するよう指導することが有効です。ユーザーがリクエストの異常を察知し、対応を誤らないようになります。

3. プッシュ通知以外の認証方法を検討

プッシュ通知を用いたMFAの代わりに、認証アプリを使ったコード入力や、ハードウェアベースの多要素認証(例:FIDO2準拠のセキュリティキー)を導入することで、通知疲労による誤承認リスクを低減できます。

4. AIを活用した行動分析

ユーザーの通常のログインパターンや認証頻度を学習し、異常な認証要求が連続した場合に自動的に警告を出す仕組みを導入することで、消耗攻撃を早期に検出し、対策が取れるようになります。

具体的な多要素認証消耗攻撃の防止手法

  • 制限設定:1日にユーザーに送信されるプッシュ通知の上限を設定する。
  • 特定の場所での認証制限:通常の認証場所やIPアドレスからのみMFAを承認させる。
  • アラートシステム:異常なリクエストがあった場合に、管理者やユーザーに警告を発する。
  • ハードウェアトークンの利用:ハードウェアトークンを用いることで、認証リクエスト疲労が発生しないMFAを採用する。

まとめ

多要素認証消耗攻撃は、ユーザーが誤って認証リクエストを許可することを狙った心理的な攻撃手法です。MFAが導入されていても、頻繁なリクエストによってユーザーの注意が散漫になり、誤承認することで攻撃者がシステムにアクセスする可能性があります。この攻撃に対する防御には、プッシュ通知の回数制限やユーザー教育、認証方法の見直しが重要です。特に、異常な認証リクエストを検知する仕組みを整えることで、攻撃の成功を未然に防ぐことが可能です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。