PR

 イスラエルのセキュリティー対策ソフト企業サイバーアーク・ソフトウエア日本法人は2021年10月8日、セキュリティー動向の説明会を開催した。米国拠点に所属し、レッド・チーム・サービス担当バイスプレジデントを務めるシャイ・ナハリ氏が、パスワードと指紋など複数の要素で認証する多要素認証を回避する攻撃の手口を解説。「多要素認証は優秀だが万能視は危険だ」と警鐘を鳴らした。

 ナハリ氏は多要素認証を回避する主な手口として、システム設計の不備を突く手口、Webブラウザーが保存するクッキー情報を盗む手口など4例を挙げた。疑似的なサイバー攻撃によってユーザー企業の対処能力の向上を支援する同社のサービスで確認したとしている。

 例えばシステム設計の不備を突く手口ではまず、あるユーザー企業の一部の利用者にフィッシング詐欺を仕掛けて端末を乗っ取った。この端末が内蔵していたVPN(Virtual Private Network)装置の多要素認証を済ませたことを証明する「ソフトトークン」を入手し、トークンを使ってVPNの多要素認証を回避した。

 このユーザー企業は、利用者のIDごとに接続できる社内システムを限定していなかった。VPNの認証を回避した後は、1つのパスワードだけですべてのシステムに対してアクセスできるようになったという。「社内の重要データを守るには多要素認証だけでなく、利用者のID単位で接続できる社内システムの範囲を絞り込むなど、複数の手段を組み合わせることが大切」とナハリ氏は指摘した。