正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。
このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。多要素認証とは、ユーザーの認証時に複数の情報(認証要素)を使う方法である。
例えば、パスワードとスマートフォンの認証アプリを使う方法があり、多くの企業がセキュリティー対策の1つとして導入している。この方法では、パスワード(知識情報)を知っていて、なおかつあらかじめ登録されたスマホ(所持情報)を持っていないとログインできない。パスワードだけの場合と比べてセキュリティーレベルは飛躍的に向上する。
だが万全ではない。上記のような多要素認証を破る手口が数年前から確認されており、現在も使われている。「プロンプト爆撃(prompt bombing)」などと呼ばれる。
最近では、「Lapsus$(ラプサス)」と名乗るサイバー犯罪者集団がこの手口を使っていることをSNSなどで広言している。ラプサスは2022年2~3月にかけて大手IT企業に次々と侵入したことで知られる。
またセキュリティー企業の米Mandiant(マンディアント)によると、2020年12月に米SolarWinds(ソーラーウインズ)のネットワーク管理ソフトを悪用して不正アクセスを繰り返していたサイバー犯罪者集団も、この手口を使っていたとされる。
一体、どんな手口なのだろうか。
ターゲットは「プッシュ通知」
プロンプト爆撃が対象とする多要素認証(二要素認証)は、IDおよびパスワードとプッシュ通知に対応した認証アプリの組み合わせだ。プッシュ通知とは、認証アプリの多くが備える機能の1つ。プッシュ通知に対応した認証アプリでは、認証アプリが表示する「承認」ボタンや「許可」ボタンなどをユーザーがタップするだけでログイン可能になる。
ログインまでの流れは次の通り。ユーザーはまず、ログインしたいサーバーなどにアクセスしてIDとパスワードを入力する。これらが正しい場合、そのユーザーが所有するスマホの認証アプリに承認を求める通知が送られる。この通知がプッシュ通知である。
そして認証アプリが表示する承認ボタンなどをユーザーがタップすると、正規のユーザーと認められてログインできる。
