全2762文字
PR

 米マイクロソフトは2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。

 この攻撃の特徴は、大規模なことに加えて多要素認証(MFA)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。

安全性を高めたはずが破られる

 社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。

 そこでメールなどのクラウドサービスを利用する企業の一部は、多要素認証を採用している。多要素認証とは、認証時に複数の情報(認証要素)を使うユーザー認証方法である。

 代表的な多要素認証の1つが、パスワードとワンタイムパスワードを使う方法だ(図1)。あるサービス(Webサイト)にログインしたいユーザーは、ユーザーIDとパスワードを入力する。

図1●パスワードだけではログインできない
図1●パスワードだけではログインできない
多要素認証の代表例。ユーザーはまず、ログイン画面でパスワードを入力して認証を行う。認証に成功すると、あらかじめ登録した電話番号やメールアドレス宛てにワンタイムパスワードが通知される。そのワンタイムパスワードをログイン画面に入力すると、ログインできる。
[画像のクリックで拡大表示]

 するとあらかじめ登録されている電話番号に対して、一定時間だけ有効な数字列(ワンタイムパスワード)がそのWebサイトからSMSなどで送られる。このワンタイムパスワードを入力すると、サービスにログインできる。

 つまりパスワードを知っていて、なおかつ電話番号を登録したスマートフォンなどを所持しているユーザーだけがログインできることになる。このためパスワードだけのユーザー認証よりも大幅に安全性を向上できる。

 だが万全ではない。今回のフィッシング攻撃は、上述のような多要素認証を破る。