攻撃者はどのようにMFAを迂回するのか、セキュリティチームは何を学べるのか

この投稿は2023年に掲載されたものです。. 

最近の記憶に残る最大のデータ漏洩のいくつかは、多要素認証（以下、「認証」）を回避したものだ。MFA). だからといって、MFAに効果がないわけではない。つまり、攻撃者は、認証要素そのものよりも、認証にまつわるギャップを標的にすることで、MFAを迂回することが多いということだ。.

MFAがどのように設定されているかを攻撃するか、ユーザーをプロンプト爆弾で攻撃するか、下請け業者を攻撃するかにかかわらず、脅威当事者はIDライフサイクルの弱点を攻撃する方法を見つけ、データを流出させ、なぜMFAが最初の防御線でなければならないが、最後の防御線であってはならないかを明らかにした。.

これが、セキュリティ・チームにとっての中心的な教訓である。MFAは依然として重要であるが、より広範なアイデンティティ・セキュリティ戦略の一部として最も効果的である。.

攻撃者は環境に応じてさまざまな手法を使うが、いくつかのパターンが繰り返し現れる。.

MFAの疲労と迅速な爆撃

一般的な戦術のひとつは 「MFA疲れ」, プロンプトボミングとも呼ばれる。攻撃者は、ユーザーが誤って、あるいはフラストレーションから、承認要求を受諾するまで、繰り返し承認要求を送信する。この方法は、ユーザーが気を取られていたり、急いでいたり、プロンプトが正当なものかどうか不確かな場合に最も効果的である。.

これが、ユーザー教育が依然として重要である理由の一つである。予期せぬプロンプトは、日常的なログイン・ステップではなく、警告サインとして扱われるべきであることを、人々は知る必要がある。.

弱いMFA設定

MFA は、その実装によってのみ強くなる。管理者が、ポリシー、登録、フォールバック方法、例外処理、またはステップアップ要件に ギャップを残しておけば、攻撃者はそれを探すだろう。多くの場合、弱点はファクターそのものではありません。ファクターの導入方法である。.

第三者および請負業者への暴露

攻撃者は、内部システムにアクセスできるサプライヤー、請負業者、パートナーも標的にする。サードパーティの ID が過剰に特権化されていたり、監視が不十分であったり、ガバナン スが弱かったりすると、強力な管理も失敗する可能性がある。アイデンティティのリスクは従業員だけにとどまらない。.

フェイルオープン・アーキテクチャー

フェイルオープン」システムとは、標準的な操作制御が機能しない場合に、デフォルトでオープンになるシステムである。. この原則は物理的なセキュリティにおいては理にかなっている。 デジタル・アクセスの安全確保に関しては、深刻なリスクをもたらす。.

システムがクラウドベースのMFAサービスとの接触を失い、デフォルトでアクセスを許可すると、攻撃者はその状態を悪用してMFAを完全にバイパスすることができる。.

アイデンティティ・ライフサイクルのギャップ

認証は ID セキュリティの 1 部にすぎない。. 脅威行為者は、ID には ID を管理する以上のものがあることを知っている。. 彼らは、プロビジョニング、リカバリ、委任管理、第三者アクセス、エンタイトルメント・ガバナンスの弱点を探す。.

これらの攻撃から得られた最大の教訓は、MFAが失敗したということではない。教訓は、ID 防御はログイン画面を超えて拡張する必要があるということである。.

組織が認証イベントだけに注目すると、他の価値の高い領域がむき出しになる。回復ワークフロー、ポリシーの例外、オフライン・アクセス、特権ロール、過剰なエンタイトルメントなど、すべてが攻撃経路になり得る。.

例えば、アクセスをプロビジョニングするだけでは十分ではない。必要だとしたら、どれくらいの期間か？アクセスを提供しすぎたのか、それとも十分だったのか？それをどうやって知るのか？これらは、侵害リスクに直接影響する実践的なセキュリティ上の疑問である。.

MFAのバイパス・リスクを低減したい組織は、IDライフサイクル全体にわたってより強力な可視性を必要とする。これは、誰がログインできるかだけでなく、なぜアクセスできるのか、何にアクセスできるのか、そしてそれらの権限が時間とともにどのように変化するのかを理解することを意味する。.

最善の防御とは、単一の要因や単一の製品ではない。攻撃者が頼りにしているギャップを埋める重層的なアプローチである。.

認証オプションの強化

すべての認証方法が同じレベルの保護を提供するわけではない。. アップルのFace IDのようなオプションがモバイルユーザーにとってほぼユビキタスになっているため、生体認証はパスワードなしの認証の一般的な形態だが、それだけではないことは確かだ。. 組織は、フィッシングやリプレイベースの攻撃への露出を減らすことができる、より強力なオプションを評価する必要があります。以下をサポートするさまざまなパスワードレス・ソリューションを優先する。 すべてのユーザー、すべての環境、すべての時間. 

ユーザーの推測への依存を減らす

プッシュ・ベースの MFA は便利だが、ユーザが予期せぬプロンプトをその場で解釈することを期待 される場合、便利さはリスクを生む可能性がある。認証フローが、プレッシャーの中でユーザの判断に依存すればするほど、より脆弱になる可能性がある。.

そのため、組織は、より強力な認証と、セキュリティ認識、適応的なポリシー制御、不審な承認パターンの監視を組み合わせる必要がある。.

失敗シナリオを想定した計画

これは、これらの侵害から得られた最も明確な教訓の一つである。ユーザーをシステムから締め出すことなく、これらの攻撃を回避できた方法はいくつかある。一つ目は ハイブリッド認証システム これは、インターネットに障害が発生した場合に、ローカルのオンプレム・ノードにフォールバックできるものである。もう1つは、オフラインで検証できる認証システムを採用することである。.

高保証環境では、回復力も重要だが、障害時の挙動も重要である。セキュリティチームは、上流のサービスが利用できなくなったときに何が起こるかを正確に把握しておく必要がある。.

アイデンティティの可視性の向上

アイデンティティのセキュリティに必要なのは、要素の検証だけではない。また、ユーザとシステム全体にわたるアクセス、権限、ライフサイクルの変更、およびリスク・シグナルに対する洞察も必要である。このような可視性がなければ、組織は認証を確保したまま、重要な資産を無防備なままにしてしまう可能性がある。.

パスワードレス認証 は、フィッシングされやすい認証情報や脆弱なログイン・フローから組織を遠ざけることで、MFA バイパス・リスクを軽減するのに役立つ。.

それが生体認証であろうとなかろうと、, FIDO2, QRコード、BLE、NFC、その他のパスワードレス・フォームファクターなど、さまざまな環境、アプリケーション、ユーザーグループが混在していても対応できるソリューションを使用する必要がある。.

パスワードレスは利便性だけではない。パスワードへの依存を減らすこともできる。パスワードは、ID攻撃で最も一般的に悪用されるエントリー・ポイントの1つであることに変わりはない。.

OTP 認証と FIDO 認証には、それぞれ独自の利点がある。最新のブラウザベースの認証に適しているものもあれば、レガシー環境やハイブリッド環境を幅広くカバーするものもある。しかし、OTP と FIDO を比較する場合、最良の答えは通常「AND」です。多くの組織は、柔軟性と強固な保証の両方を必要としている。.

MFAはあなたの最初の防衛線でなければならないが、最後の防衛線ではない。. MFA バイパスのリスクを低減するために、組織はより強力な認証オプション、弾力性のあるアーキテ クチャ、および ID ライフサイクル全体にわたるより良い可視性を必要としている。.

RSA ID Plusを使用することで、企業はパスワードレス認証とハイブリッド認証をサポートし、最新環境とレガシー環境の保護を強化し、よりレジリエントなIDセキュリティ戦略を構築できます。. RSA ID Plusの使用方法 MFAが単独で機能する場合、攻撃者が狙う隙を防御するのに役立つ。.

MFA は、より広範なアイデンティティ・セキュリティ戦略の一環として導入される場合に、最も効果的に機能する重要なセキュリティ・コントロールです。ウェビナーでは、攻撃者がMFAを迂回する一般的な方法として、プロンプト爆弾、脆弱な設定、サードパーティの暴露、IDライフサイクル全体のギャップなどを紹介しました、, 攻撃の解剖MFAの栄枯盛衰, その結果、参加者たちから丁寧なフォローアップの質問が寄せられた。以下のFAQは、その会話から生まれた最も重要な質問のいくつかを取り上げている。.

Q: Microsoftの見解に賛成されますか、Windows Hello PINはワークステーションへのアクセスにおいて従来のパスワードよりも安全だと考えますか？

A: この問いは今後も議論されるであろう興味深い問題です。パスワードとPINはいずれも「知っているもの」という認証カテゴリーに属し、そのためフィッシング攻撃の対象になります。パスワードに比べて、PINは一般的に短い長さで制限された文字セットを使用します。したがって、情報理論的な観点から見ると、エントロピー的にはPINはパスワードよりも 弱い と言えます。すなわち、選択肢の数が多いほど、パスワードやPINをブルートフォース攻撃から守るのは難しくなります。

しかし、それは物語の一部に過ぎません。パスワードとは異なり、PIN（少なくともNIST SP800-63で定義されるPIN）は ローカルで検証されます。これは、PINが一度も送信されず、集中型のリポジトリに格納されないことを意味します。これにより、PINはスマッシュアンドグラブ攻撃で傍受または盗まれる可能性がはるかに低くなります。

よくあることですが、セキュリティの全体的な姿勢に対して、プロトコルや技術よりも環境、設定、およびユーザー教育が大きな影響を与えることがあります。

Q: 「フェイルオープン問題」を回避するためのオフライン認証オプションについて、もう少し詳細を提供できますか？アーキテクチャや製品の提供例を教えてください。

A:「フェイルオープン」システムとは、通常の運用制御が機能しない場合にデフォルトで開いた状態になるシステムのことを指します。これは物理的なセキュリティにおける重要な安全を守るための原則です（例：火災が発生した場合、すべての外部ドアはすぐに解錠されるべきです）、しかし重要な資産へのアクセスを保護する際には望ましくありません。

NGOの利用ケースでは、攻撃者はローカルシステムとクラウドベースのMFAプロバイダーとの通信を妨げることで資産へのアクセスをできました。これにより、MFAの制御を迂回する効果がありました。これが可能だったのは、導入されているアイデンティティソリューションが「フェイルオープン」のセキュリティ姿勢にデフォルトでなっていたためです。

システムからユーザーを排除することなく、この問題を回避する方法がいくつかあります。1つ目は、インターネットの障害が発生した場合にローカル（オンプレミス）ノードにフォールバックできるハイブリッド認証システムを採用することです。2つ目は、オフラインで検証できる認証システムを採用することです。RSA ID Plusは両方のオプションをサポートしています。

Q:最も優れたIDP（アイデンティティプロバイダー）は何ですか？

A:もし私が「RSA ID Plus」以外の何かを答えた場合、多分仕事を失うことになると思います。

しかし、真剣な話として、いくつかの点を考慮する必要があります。まず第一に、そのベンダーは実績を持っていますか？第二に、アイデンティティは彼らの主要な事業領域なのか、それとも彼らが行う多くの活動の一つなのか？第三に、デザインの決定においてベンダーは便益を優先するのか、セキュリティを優先するのか？第四に、そのソリューションは広範なユーザーやユースケースをサポートする柔軟性を持っており、データセンター内部にある複雑な旧式アプリケーションも含めて対応できるか？そして最後に、問題が発生した場合（そして問題は起こるでしょう）、ベンダーは完全な透明性を持って認識するのか、それとも事態をごまかして責任転嫁をするのか？

セキュリティは簡単ではなく、脅威者は攻撃対象の中でも アイデンティティ を他のどの部分よりも狙っています。組織は、それを理解するIDP（アイデンティティプロバイダー）が必要です。

Q:セキュリティベンダーによって提供されている現在のZTNA（ゼロトラストネットワークアクセス）ソリューションの信頼性はどの程度ですか？

A:ゼロトラストネットワークアクセス（ZTNA）は、信頼はユーザーのローカルイントラネットへの接続だけに基づいて自動的に 仮定される べきではないという原則に基づいたコンセプトです。ユーザーは継続的に認証され、特定のリソースにアクセスする許可を持ち、そのための正当な理由も必要です。

現在市場には多くの「ゼロトラスト」製品がありますが、重要なのは、ZTNAは概念的な枠組みとベストプラクティスのセットであるということです。 技術 をどのように活用し、ポリシーを定義し、エコシステムを管理するかによって、ZTNAの姿勢が決まります。技術は確かに役立つことがありますが、どのベンダーも自分たちの製品がZTNA準拠にすると言っても、別の選択肢を探した方が良いでしょう。

もしゼロトラストについて詳しく学びたいのであれば、私はNIST SP800-207で定義されているゼロトラストの7つの原則から始めることをおすすめします。

Q:パスワードレスは完全にバイオメトリクスに基づいていますか？他にどのような方法が使用される可能性があり、認証にはAIがどのように使用されていますか？

A:Apple Face IDのような選択肢がモバイルユーザーにほぼ普及している中で、バイオメトリクスは確かに人気のあるパスワードレス認証形式ですが、もちろん唯一のものではありません。FIDO2は、消費者向けおよび企業向けのユースケースの両方でますます一般的な選択肢となっています。QRコード、BLE、NFCなどの非接触型の方法も一部で使用されていますが、規模は小さいです。ますます、スマートルール、機械学習、行動分析などのAI原則が、認証の不可視の要素として、ほとんどユーザーフリクションを導入しないかほとんど導入しない方法としてアイデンティティの信頼性をさらに向上させるために使用されています。RSA ID Plusはこれらのすべてのオプションを今日サポートしています。

Q: アイデンティティ＆アクセスマネジメントの将来はどうなるのでしょうか？

A:私は、これらの3つの攻撃がすべて、「アイデンティティ＆アクセスマネジメント」は、時代遅れの用語でなければともかく、おそらく十分ではないと示していると考えています。

これらの攻撃は、私たちが単にアイデンティティを管理するだけでなく、保護する必要があることを強調しています。たとえば、アクセスをプロビジョニングするだけでは不十分です。我々は「ユーザーがアクセスを必要とするか？」という問いから始めるべきです。もし必要なら、どれくらいの期間アクセスが必要か？過剰なアクセスを提供してしまったのか、それともちょうど十分なアクセスを提供したのか？どのようにしてそれを知ることができるのでしょうか？多くの場合、管理者はどちらかの方法を知らないか、またはどのように調べるかも分からないと思います。

脅威行為者は、アイデンティティを管理する以上の側面が存在することを理解しています。私が調査した攻撃は、サイバー犯罪者がIAMが考慮していないギャップを攻撃する方法を示しています。私は、組織のアイデンティティに対する理解が、完全なアイデンティティライフサイクルを考慮し、保護するために拡大する必要があると考えています。

より技術的な観点から見ると、私はAIが膨大な認証、権限、使用 データを処理する際に大きな役割を果たすと考えています。細かいデータを素早く大規模に評価できるインテリジェントなプラットフォームを持つことは、組織のセキュリティを保つ上で本当の資産となるでしょう。

Q:SecurIDとYubiKeyを比較するとどのような違いがありますか？

A:SecurIDとYubiKeyは、それぞれのカテゴリでトップクラスの認証機器です。そして良いニュースは、RSA ID Plusは両方をサポートしていることです（他にも多くの認証オプションもあります）。

特定のベンダーの詳細から一歩引いて考えると、OTPとFIDO認証器それぞれに独自の利点があります。FIDOはウェブベースのログインにおいて安全で便利な選択肢として人気が高まっていますが、ソフトウェアベースのFIDOオプションはまだ限定的な柔軟性しか持っておらず、ハードウェアデバイスはしばしば物理的な接続が必要ですし、ウェブブラウザ以外でのFIDOの真のサポートはほとんど存在しません。一方、OTPはほぼどこでも動作するという利点があります。ハードウェアまたはソフトウェア上で、専用のクライアントソフトウェアや物理的な接続は必要ありません。

しかし、OTPとFIDOを比較する場合、最良の答えは通常「AND」である。のようなハイブリッド・デバイスは RSA DS100 OTPとFIDO2を1つのフォーム・ファクタで提供することで、両方の長所を併せ持ち、最大限の柔軟性と幅広いサポートを提供します。また、RSAは iShield Key 2シリーズ, FIPS140-3およびFIDO2の認定を受け、FedRAMP、NIST、DORA、NIS2、HIPAA、PCI DSSなどのフレームワークに準拠しています。FIPS 140-3およびFIDO2の認定を受け、FedRAMP、NIST、DORA、NIS2、HIPAA、PCI DSSなどのフレームワークに準拠しています。.