人気ゲーム「グランド・セフト・オート」(GTA)などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue(多要素認証疲れ)」攻撃と呼ばれる手口を使ってMFA(多要素認証)を突破していた。

 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログインを許可するかどうか確認する。MFA Fatigueの手口ではこれを逆手に取り、故意にログイン試行を繰り返すことで確認通知を何度も執拗(しつよう)に受信させ、相手を疲れ果てさせて承認に追い込む。

●Uberを狙った手口 1時間以上プッシュ通知を送付

 報道によるとUberを狙った攻撃では、攻撃者が事前に何らかの手段で従業員のユーザー名とパスワードの組み合わせを入手して、この従業員のアカウントに何度も繰り返しアクセスを試みた。従業員には1時間以上にわたり、ログインを承認するかどうか確認するプッシュ通知が大量に送信され続けた。

 次に攻撃者はUberのIT担当者を装ってこの従業員に連絡を取り、通知を止めたければ承認するよう指示した。大量の通知に疲れ果てていた従業員はログインを承認し、不正アクセスを許してしまったという。

 攻撃者はこれを足掛かりにUberのVPNにアクセスを確立し、自分の端末を登録。ネットワーク内部に侵害を広げていき、別の弱点を見つけて管理者権限も乗っ取った。UberのSlackには、乗っ取ったアカウントから「発表する。自分はハッカーだ。Uberはデータ侵害に遭った」と書き込んでいたが、当初は冗談だと思った従業員もいたらしい。

 しかしその間に、UberはAmazon Web Services(AWS)やGSuiteなどのクラウドアカウントまで管理者権限で不正アクセスされる被害に遭っていた。

 今回、Uberに不正侵入したのは18歳のハッカーだったと報じられ、悪名高いサイバー犯罪グループ「Lapsus$」の関与も指摘されている。Rockstar Gamesが開発中のゲーム「グランド・セフト・オート6」の情報を流出させたのも同じ攻撃者だったと伝えられており、同じ手口で従業員がだまされた可能性がある。

●急増する「多要素認証疲れ」攻撃 対策は?

 プッシュ通知を大量に発生させてMFAを突破する手口については、サイバーセキュリティ企業の米Mandiantが2021年12月のブログで報告していた。それによると、ITベンダーの米SolarWindsのサプライチェーン攻撃に関与したとされるロシアのサイバースパイ集団「Nobelium」が、各国の政府機関や企業などを標的とした攻撃にこの手口を使っていた。

 サイバーセキュリティ企業の米GoSecureも2月のブログで、この手口を使った攻撃が急増しており、名のあるハッカー集団が積極的にこの手口を使ってOffice 365のアカウントに侵入しているのが見つかったと伝えている。

 プッシュ通知だけでなく、電話を使った確認連絡が悪用されることもある。セキュリティコンサルタントのジェフリー・アペルさんは、Lapsus$のメンバー同士で交わされていたというこんなチャットを紹介している。

 「従業員が寝ようとしている午前1時に100回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFAポータルにアクセスして、別の端末を登録できる」

 攻撃者が狙った組織の従業員のユーザー名とパスワードの組み合わせを手に入れる手段はいくらでもある。フィッシング詐欺で従業員をだましたり、パスワードを盗むマルウェアを使ったり、総当たり方式で推測を試みるブルートフォース攻撃を仕掛けたり、闇市場で売り出された情報を買い取ったりすることもできる。

 不正アクセス防止に欠かせない対策として多要素認証の普及が進む中、ユーザー名とパスワードだけではログインできないアカウントも増えた。しかしMFA Fatigueは、攻撃側が「人間」の弱さを突いて、その対策をかいくぐる手口を見つけ出している現状を物語る。

 攻撃者はスクリプトを使うなどしてログイン試行を何度でも繰り返すことができる。一方、大量の通知を受信し続けるユーザーは、その量の多さに圧倒され、疲れ果て、何とか通知を止めたいと思う。不具合と勘違いしたり、他の正規の認証リクエストと勘違いしたりすることもある。

 「多くのMFAユーザーはこの種の攻撃に慣れていないため、自分が詐欺通知を承認しているとは思わない。ただ消えてほしいと思う人や、いつも同じような通知を承認しているので自分が何をやっているのか分からない人もいる。大量の通知の向こうにある脅威を見抜くことができない」とGoSecureは警鐘を鳴らす。

 こうした攻撃を防ぐためには、まず第一にパスワードの流出を防ぎ、流出した場合は検知できる対策を徹底させておく必要があるとアペルさんは言う。MicrosoftのAzureには、MFA認証の確認通知に番号を表示して、その番号を認証アプリに入力するよう求める機能(現段階ではプレビュー版)があり、そうしたMFAコントロール機能の強化を通じてMFA Fatigue攻撃を防ぐ対策を同氏は紹介している。