米Microsoft(マイクロソフト)は2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office 365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。
この攻撃の特徴は、大規模なことに加えて多要素認証(MFA:Multi-Factor Authentication)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。
複数の認証要素で安全性を高めたはずが
社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。
そこでメールなどのクラウドサービスを利用する企業の一部は、多要素認証を採用している。多要素認証とは、認証時に複数の情報(認証要素)を使うユーザー認証方法である。
代表的な多要素認証の1つが、パスワードとワンタイムパスワードを使う方法だ。あるサービスにログインしたいユーザーは、ユーザーIDとパスワードを入力する。
するとあらかじめ登録されている電話番号に対して、一定時間だけ有効な数字列(ワンタイムパスワード)がそのサービスからSMS(ショート・メッセージ・サービス)などで送られる。このワンタイムパスワードを入力すると、サービスにログインできる。
つまりパスワードを知っていて、なおかつ電話番号を登録したスマートフォンなどを所持しているユーザーだけがログインできることになる。このためパスワードだけのユーザー認証よりも大幅に安全性を向上できる。
だが万全ではない。今回のフィッシング攻撃は、上述のような多要素認証を破る。
正規ユーザーと本物のサイトのやり取りを中継
多要素認証を破るフィッシング攻撃の流れは次の通り。
攻撃者は偽のメールを正規のユーザーに送り、偽サイト(フィッシングサイト)に誘導する。一般的なフィッシング攻撃と同じだ。
フィッシングサイトは、Microsoft 365のログインサイトに見せかけている。本物のサイトの画像などを使用しているため、URL以外は本物と同じである。
