パスワードは時代遅れですが、その後継もすべてが同等に安全なわけではありません。このガイドでは、MFA技術の強み、攻撃者のバイパス手法、そして現代の脅威に対抗するための適切な認証戦略の選び方を解説します。
Microsoftのテレメトリデータによると、MFAを有効にしたアカウントはそうでないアカウントよりも侵害される可能性が99.9%低いとされています。この数字はMFAを万能薬のように見せますが、攻撃者はすでにMFAをバイパスする複数の手法を開発しており、「MFAを導入している」と「MFAが実際に機能している」の間には重大なギャップが存在します。
認証の基本原則は、3つの要素のうち少なくとも2つを組み合わせることです:知識要素(パスワード)、所持要素(スマートフォン・ハードウェアキー)、生体要素(生体認証)。しかし各実装は安全強度が大きく異なり、誤ったMFA方式を選ぶと企業に偽りの安心感を与える恐れがあります。
攻撃手法を理解することが、適切な防御ツールを選ぶための第一歩です:
攻撃者はプロキシフィッシングサイトを構築し、認証情報とOTPコードをリアルタイムで本物のサイトに転送して認証済みセッションCookieを窃取します。SMS OTPとTOTPアプリはこの手法に対応できません。MicrosoftおよびGoogleのアカウントがこの手法で大規模に標的にされています。
パスワードを入手した後、攻撃者は繰り返しプッシュ認証通知を送り続け、標的が嫌気や混乱から承認するよう誘導します。2022年のUber情報漏洩もこの手法で実行されました。ナンバーマッチを有効にすることでこのリスクを大幅に低減できます。
攻撃者はソーシャルエンジニアリングを使って通信キャリアを説得し、被害者の電話番号を攻撃者管理のSIMカードに移転させ、すべてのSMS OTPを受信できるようにします。これがSMSベースMFAの根本的な脆弱性であり、台湾でも実例が報告されています。
攻撃者はITサポートスタッフを装い、標的に電話やメールで「アカウント確認」を完了させるよう誘導し、MFAリセットとアカウント乗っ取りを引き起こします。2022年にTwilioとCloudflareの両社がこの攻撃を受けましたが、ハードウェアセキュリティキーを導入していたCloudflareは防御に成功しました。
FIDO2(Fast Identity Online 2.0)標準とWebAuthnプロトコルの組み合わせは、現在利用可能な最も強力なフィッシング耐性認証を提供します。その核心原則は「ドメインバインディング」であり、認証プロセスは正規ドメインを含むデバイスからの暗号署名を使用します。攻撃者が見た目そっくりのフィッシングサイトを作っても、誤ったドメインでは認証を完了できません。
デバイスのセキュアチップ(iPhone Face ID、Android指紋認証、Windows Hello)に保存 — 無料で便利、将来の主流オプション。
YubiKeyのような物理USB/NFCデバイス — 最高レベルのセキュリティ、特権アカウントや高リスクシナリオに最適。
スマートフォンでQRコードをスキャンしてデスクトップログインを確認 — 追加ハードウェア不要でセキュリティと利便性を両立。
Googleが2017年に全従業員にハードウェアセキュリティキーの使用を義務化した後、アカウント乗っ取り事件がゼロになりました。従業員がフィッシングメールに騙されて悪意あるサイトにパスワードを入力した場合でも、ハードウェアキーのドメインバインディング機構が不正ログインを防ぎました。
すべてのアカウントが同じレベルの保護を必要とするわけではありません。リスクベースの階層型戦略が現実的なアプローチです:
Hexion Networksにお問い合わせの上、貴組織のアイデンティティセキュリティ体制を評価し、適切なMFAアップグレードパスを計画しましょう。