MFAを回避したデータ侵害から学ぶサイバーセキュリティの教訓

記憶に新しいいくつかの大規模なデータ侵害は、多要素認証（MFA）を回避しました。MFAの構成方法を攻撃したり、ユーザーに対してプロンプトを多数表示させる「prompt-bombing」を行ったり、サブコントラクターを攻撃したりすることで、LAPSUS$や国家主導のエージェントは、アイデンティティライフサイクルの弱点を攻撃し、データを持ち出し、なぜMFAが最初の防御ラインであるべきかを示しましたが、最終の手段ではないことを明らかにしました。

これらの攻撃については、最近行われたウェビナーでそれぞれ詳しく説明しました。 オンデマンドで視聴できます。攻撃の構造を詳しく解説する中で、脅威者が使用した手法や攻撃の手口を説明しました。

このウェビナーでは、多くの質問をいただきました。参加者から異なる認証要素の相対的な強み、ゼロトラスト、パスワードレスなどに関する素晴らしい質問をいただきました。以下は、対応しきれなかった質問と、時間切れにならなかった場合に共有したであろう回答となります。

A: この問いは今後も議論されるであろう興味深い問題です。パスワードとPINはいずれも「知っているもの」という認証カテゴリーに属し、そのためフィッシング攻撃の対象になります。パスワードに比べて、PINは一般的に短い長さで制限された文字セットを使用します。したがって、情報理論的な観点から見ると、エントロピー的にはPINはパスワードよりも 弱い と言えます。すなわち、選択肢の数が多いほど、パスワードやPINをブルートフォース攻撃から守るのは難しくなります。

しかし、それは物語の一部に過ぎません。パスワードとは異なり、PIN（少なくともNIST SP800-63で定義されるPIN）は ローカルで検証されます。これは、PINが一度も送信されず、集中型のリポジトリに格納されないことを意味します。これにより、PINはスマッシュアンドグラブ攻撃で傍受または盗まれる可能性がはるかに低くなります。

よくあることですが、セキュリティの全体的な姿勢に対して、プロトコルや技術よりも環境、設定、およびユーザー教育が大きな影響を与えることがあります。

A:「フェイルオープン」システムとは、通常の運用制御が機能しない場合にデフォルトで開いた状態になるシステムのことを指します。これは物理的なセキュリティにおける重要な安全を守るための原則です（例：火災が発生した場合、すべての外部ドアはすぐに解錠されるべきです）、しかし重要な資産へのアクセスを保護する際には望ましくありません。

NGOの利用ケースでは、攻撃者はローカルシステムとクラウドベースのMFAプロバイダーとの通信を妨げることで資産へのアクセスをできました。これにより、MFAの制御を迂回する効果がありました。これが可能だったのは、導入されているアイデンティティソリューションが「フェイルオープン」のセキュリティ姿勢にデフォルトでなっていたためです。

システムからユーザーを排除することなく、この問題を回避する方法がいくつかあります。1つ目は、インターネットの障害が発生した場合にローカル（オンプレミス）ノードにフォールバックできるハイブリッド認証システムを採用することです。2つ目は、オフラインで検証できる認証システムを採用することです。RSA ID Plusは両方のオプションをサポートしています。

A:もし私が「RSA ID Plus」以外の何かを答えた場合、多分仕事を失うことになると思います。

しかし、真剣な話として、いくつかの点を考慮する必要があります。まず第一に、そのベンダーは実績を持っていますか？第二に、アイデンティティは彼らの主要な事業領域なのか、それとも彼らが行う多くの活動の一つなのか？第三に、デザインの決定においてベンダーは便益を優先するのか、セキュリティを優先するのか？第四に、そのソリューションは広範なユーザーやユースケースをサポートする柔軟性を持っており、データセンター内部にある複雑な旧式アプリケーションも含めて対応できるか？そして最後に、問題が発生した場合（そして問題は起こるでしょう）、ベンダーは完全な透明性を持って認識するのか、それとも事態をごまかして責任転嫁をするのか？

セキュリティは簡単ではなく、脅威者は攻撃対象の中でも アイデンティティ を他のどの部分よりも狙っています。組織は、それを理解するIDP（アイデンティティプロバイダー）が必要です。

A:ゼロトラストネットワークアクセス（ZTNA）は、信頼はユーザーのローカルイントラネットへの接続だけに基づいて自動的に 仮定される べきではないという原則に基づいたコンセプトです。ユーザーは継続的に認証され、特定のリソースにアクセスする許可を持ち、そのための正当な理由も必要です。

現在市場には多くの「ゼロトラスト」製品がありますが、重要なのは、ZTNAは概念的な枠組みとベストプラクティスのセットであるということです。 技術 をどのように活用し、ポリシーを定義し、エコシステムを管理するかによって、ZTNAの姿勢が決まります。技術は確かに役立つことがありますが、どのベンダーも自分たちの製品がZTNA準拠にすると言っても、別の選択肢を探した方が良いでしょう。

もしゼロトラストについて詳しく学びたいのであれば、私はNIST SP800-207で定義されているゼロトラストの7つの原則から始めることをおすすめします。

A:Apple Face IDのような選択肢がモバイルユーザーにほぼ普及している中で、バイオメトリクスは確かに人気のあるパスワードレス認証形式ですが、もちろん唯一のものではありません。FIDO2は、消費者向けおよび企業向けのユースケースの両方でますます一般的な選択肢となっています。QRコード、BLE、NFCなどの非接触型の方法も一部で使用されていますが、規模は小さいです。ますます、スマートルール、機械学習、行動分析などのAI原則が、認証の不可視の要素として、ほとんどユーザーフリクションを導入しないかほとんど導入しない方法としてアイデンティティの信頼性をさらに向上させるために使用されています。RSA ID Plusはこれらのすべてのオプションを今日サポートしています。

A: これら3つの攻撃はすべて、「アイデンティティ＆アクセス管理」が時代遅れの用語ではないにせよ、不十分な用語であることを示していると思う。

これらの攻撃は、私たちが単にアイデンティティを管理するだけでなく、保護する必要があることを強調しています。たとえば、アクセスをプロビジョニングするだけでは不十分です。我々は「ユーザーがアクセスを必要とするか？」という問いから始めるべきです。もし必要なら、どれくらいの期間アクセスが必要か？過剰なアクセスを提供してしまったのか、それともちょうど十分なアクセスを提供したのか？どのようにしてそれを知ることができるのでしょうか？多くの場合、管理者はどちらかの方法を知らないか、またはどのように調べるかも分からないと思います。

脅威行為者は、アイデンティティを管理する以上の側面が存在することを理解しています。私が調査した攻撃は、サイバー犯罪者がIAMが考慮していないギャップを攻撃する方法を示しています。私は、組織のアイデンティティに対する理解が、完全なアイデンティティライフサイクルを考慮し、保護するために拡大する必要があると考えています。

より技術的な観点から見ると、私はAIが膨大な認証、権限、使用 データを処理する際に大きな役割を果たすと考えています。細かいデータを素早く大規模に評価できるインテリジェントなプラットフォームを持つことは、組織のセキュリティを保つ上で本当の資産となるでしょう。

A:SecurIDとYubiKeyは、それぞれのカテゴリでトップクラスの認証機器です。そして良いニュースは、RSA ID Plusは両方をサポートしていることです（他にも多くの認証オプションもあります）。

特定のベンダーの詳細から一歩引いて考えると、OTPとFIDO認証器それぞれに独自の利点があります。FIDOはウェブベースのログインにおいて安全で便利な選択肢として人気が高まっていますが、ソフトウェアベースのFIDOオプションはまだ限定的な柔軟性しか持っておらず、ハードウェアデバイスはしばしば物理的な接続が必要ですし、ウェブブラウザ以外でのFIDOの真のサポートはほとんど存在しません。一方、OTPはほぼどこでも動作するという利点があります。ハードウェアまたはソフトウェア上で、専用のクライアントソフトウェアや物理的な接続は必要ありません。

しかし、OTPとFIDOを比較する際、通常は「AND」が最善の答えです。 RSA DS100 認証機器のようなハイブリッドデバイスは、両方の世界のベストを組み合わせており、単一のフォームファクタでOTPとFIDO2を提供することで、最大限の柔軟性と幅広いサポートを提供しています。