を持つ。 最近、多要素認証(MFA)による爆弾攻撃が成功したというニュースがあった。 RSAは、この種の攻撃に対する防御に関するガイダンスを求められることが多くなっています。以前、私たちは ブログ記事 この記事では、攻撃者がどのようにMFAの疲労を利用し、プロンプト爆撃を使用してアクセス権を獲得するかについて詳しく説明する。この投稿では、以下の中の特定の設定に焦点を当てる。 ID Plus このような MFA Fatigue や Prompt Bombing 攻撃を検知し、防御するために使用することができる。
すべての認証要素が同じように作られているわけではない。RSAは、ハードウェアベースのワンタイム・パスコード(OTP)認証のパイオニアとして最もよく知られているかもしれないが、テクノロジーもRSAも進化している。スマートフォンの普及は、便利な MFA の普及を促進した。広く採用されているアプローチの1つは、スマートフォンのアプリケーションにプッシュ通知を送信し、ユーザーが承認または拒否を選択できるようにするものです。
この場合、ユーザーはパスワードを入力し、スマートフォンやスマートウォッチでこのプッシュ通知に応答する。ユーザーが承認を選べばアクセスは許可され、拒否を選べばアクセスは拒否される。この方法は、物理的な認証装置(ハードウェア・トークン)を提供する必要がないため、うまく機能する。ユーザーにとって便利であり、以下のような脆弱性もない。 SIMスワッピング攻撃 SMS ベースの認証がそうであるように。
より便利ではあるが、プッシュ・ベース認証は、ユーザが、自分が開始したものでない認証試行を識別し、拒否することに依存しているため、この方法は、ワンタイムパスコードにはない方法で、プロンプト・ボミング攻撃の影響を受けやすい。
ユーザーは、セカンダリー・デバイス(携帯電話やセキュリティ・キーなど)を所有していることを、さまざまな方法で証明することができる。ワンタイムパスコードは、これを達成するための一般的な方法である。 FIDOスタンダード, PKIを利用した認証が急速に普及している。ここで重要なのは、異なる認証方法には異なる長所と短所があることを理解することである。場合によっては、認証方法によっては、セキュリティと利便性がトレードオフになる。悪いトレードオフのように聞こえるかもしれないが、利便性は採用を後押しする。
私の家の玄関ドアを例えてみよう。ドアに4つのデッドボルトを取り付ければ、誰かが侵入するのを難しくすることができる。それとも、デッドボルト1つでセキュリティと利便性のバランスがとれるでしょうか?
MFAの実装を成功させる鍵は、さまざまな認証方法の長所と短所を理解し、適切な場合に はより便利な認証方法を利用できるようにし、リスクに応じてより強力な方法(利便性が 低いかもしれない)を要求することで、適切なバランスをとることである。
その中で ID Plus プラットフォームでは、各認証方法は 保証レベル.次に管理者は、どの保証レベルが必要かを決定するポリシーを作成する。このポリシー・エンジンは非常に柔軟である。 詳細(英語版)).ポリシーが要求する保証レベルに基づいて、必要な保証レベルを満たす認証オプションのリ ストがユーザに提示される。
ID Plusには、必要な保証レベルを決定するために静的なポリシーを使用することに加え、より動的なアプローチを取る機能もある。この機能を アイデンティティ 自信.ID 信頼度エンジンは、さまざまな要素を使用して各認証試行をリアルタイムで分析し、 信頼度の高いスコアまたは低いスコアを返す。この結果をポリシー内で使用して、特定の保証レベルを要求することもできる。信頼度スコアは、単独で、またはポリシー内の他の条件と組み合わせて使用できる。
この機能の実用的なアプリケーションとしては、信頼性スコアが高い場合は便利なプッシュ通知を許可し、信頼性スコアが低い場合はより強力なファクターを要求することが考えられる。認識できないデバイスや見知らぬ場所から発信された漏洩した認証情報を使用した悪意のある認証の試みは、低い信頼性スコアのトリガーとなる。ポリシーに基づき、行為者はOTPまたはセキュリティ・キーの入力を求められ、正規ユーザの携帯電話へのプッシュ通知をトリガすることはできない。
IDプラスのもうひとつの特徴は ハイリスクユーザーリスト.この機能は、セキュリティ ツールがユーザを高リスクとしてマークするためのインターフェイスを提供します。NetWitness や Azure Sentinel などのソリューションを使用して、ID Plus プラットフォームの外部で確認されたアクティビティやアラートに基づいて、ユーザを高リスクとしてマークできます。ポリシーエンジンを使用すると、高リスクのユーザはアプリケーションへのアクセスを拒否されたり、アクセスするために高保証の認証方法を提供するよう要求されたりする可能性があります。
玄関ドアの例に戻り、デッドボルトを追加する代わりにカメラを設置したとしよう。カメラによって、デッドボルトを破ろうとする試みを監視し、警告することができる。同様に、認証活動を監視し警告することで、貴重な洞察を得ることができる。プロンプト・ボミング攻撃の文脈では、ユーザは最初の認識できない試行を拒否することが多いが、攻撃者が十分な試行を送信すれば、最終的には承認する可能性がある。イベント・ログを監視し、疑わしいパターンに関するアラートを作成することで、攻撃の可能性や成功した攻撃を調査するために、セキュリティ・チームを可視化し、警告することができます。
ID Plusの各認証イベントは、プロセスの各ステップの詳細とともにログに記録されます。 詳細(英語版)). 繰り返し発生する場合は、プロンプト爆弾攻撃の兆候である可能性があるため、監視をお勧めする特定のイベントIDを以下に示します:
| イベント コード | 説明 |
| 702 | 承認認証に失敗しました - ユーザー応答がタイムアウトしました。 |
| 703 | 承認認証に失敗しました - ユーザーが承認を拒否しました。 |
| 802 | デバイス生体認証に失敗しました - ユーザーの応答がタイムアウトしました。 |
| 803 | デバイス生体認証に失敗しました。 |
プロンプトボムやその他の方法を問わず、アクセスに成功した後、一般的な手法は新しい MFA デバイスを登録することです。RSA は、MFA の登録に単なるパスワード以上のものを要求することで登録プロセスを保護することに加え、以下 を有効にすることも推奨しています。 メール通知, これは、悪意のあるログインを承認した可能性のあるユーザに対して、新しい認証 者が登録されたこと、または既存の認証者が削除されたことを通知するものである。
プロンプト爆撃攻撃やMFA疲れから守るため:
- 未認識の認証プロンプトを承認することの危険性についてユーザを教育し、このような事態が発生した場合はセキュリティチームに報告し、パスワードを変更するよう促す。
- 特定のアプリケーションや状況では、別の認証方法を使用することを検討する。信頼性を識別し、高リスク・ユーザー・リストは大きな助けとなる。
- 拒否されたプッシュ要求やタイムアウトしたプッシュ要求のログを監視し、それらが連続して検出された場合にアラートを生成します。
- を確保する。 MFAデバイス登録プロセス.
- デバイス変更の電子メールアラートを有効にします。
