“多要素認証疲れ攻撃”について

2022年10月25日2023年8月22日

こんにちは。SCSK セキュリティプロダクト部 Yubicoチームです。

“多要素認証疲れ攻撃”を聞いたことはありますでしょうか？

この攻撃はMFA Fatigueとも呼ばれ悪意の持った第三者がヒューマンエラーをついて認証を突破しようとする攻撃です。

本攻撃に関しては以下の記事が参考になるかと思います。

■YAHOO! JAPAN ニュース 2022/9/22

https://news.yahoo.co.jp/byline/ohmototakashi/20220922-00316158

本攻撃を完全に防ぐことは難しいですが、多要素認証の手法に関して、YubiKey等を用いた認証（Ex.ワンタイムパスワード方式）にすればリスクはある程度低減できます。多要素認証疲れ攻撃は、主に2要素目の攻撃を「承認」をクリックするのみとしているパターンをターゲットにしていますので、ランダム数列を入力するワンタイムパスワード方式であれば、間違って「承認」ボタンを押してしまう、といったことを避けることが出来ます。

ただし上記のようなうっかりミスではなく、とにかく通知を止めたいとユーザーが思ってしまうとワンタイムパスワード方式であっても突破されてしまうリスクは残ります。

このインシデントは、多要素認証等の仕組みで会社の資産を守ることは勿論、ユーザーへのセキュリティに関する教育も同時に必要とされていることを示唆しているといえます。　