全2762文字
米マイクロソフトは2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺▼)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。
この攻撃の特徴は、大規模なことに加えて多要素認証(MFA▼)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。
安全性を高めたはずが破られる
社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。
そこでメールなどのクラウドサービスを利用する企業の一部は、多要素認証を採用している。多要素認証とは、認証時に複数の情報(認証要素)を使うユーザー認証方法である。
代表的な多要素認証の1つが、パスワードとワンタイムパスワードを使う方法だ(図1)。あるサービス(Webサイト)にログインしたいユーザーは、ユーザーIDとパスワードを入力する。
図1●パスワードだけではログインできない
多要素認証の代表例。ユーザーはまず、ログイン画面でパスワードを入力して認証を行う。認証に成功すると、あらかじめ登録した電話番号やメールアドレス宛てにワンタイムパスワードが通知される。そのワンタイムパスワードをログイン画面に入力すると、ログインできる。
[画像のクリックで拡大表示]
するとあらかじめ登録されている電話番号に対して、一定時間だけ有効な数字列(ワンタイムパスワード)がそのWebサイトからSMS▼などで送られる。このワンタイムパスワードを入力すると、サービスにログインできる。
つまりパスワードを知っていて、なおかつ電話番号を登録したスマートフォンなどを所持しているユーザーだけがログインできることになる。このためパスワードだけのユーザー認証よりも大幅に安全性を向上できる。
だが万全ではない。今回のフィッシング攻撃は、上述のような多要素認証を破る。
