Phishing-Resistant MFA - Unphishable Authentication
About 2 min read
フィッシング耐性 MFA (Phishing-Resistant MFA) とは、フィッシング攻撃によって 認証情報を窃取されても突破できない多要素認証方式を指します。 具体的にはFIDO2/WebAuthn と PKI (公開鍵基盤) ベースの認証がこれに該当します。 米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、フィッシング耐性 MFA を 「MFA のゴールドスタンダード」と位置づけ、すべての組織に導入を推奨しています。
CISA の推奨と米国政府の義務化
2022 年 1 月、バイデン政権は行政管理予算局 (OMB) の覚書 M-22-09 を発行し、 連邦政府機関に対してフィッシング耐性 MFA の導入を義務化しました。 この覚書はゼロトラストアーキテクチャへの移行の一環であり、 「SMS OTP や TOTP はフィッシング耐性がない」と明確に区別しています。 背景には、2020 年の SolarWinds 事件や 2021 年の Colonial Pipeline 攻撃など、 従来型の MFA では防げなかった高度な攻撃の増加があります。
フィッシング耐性がある方式 vs ない方式
| 認証方式 | フィッシング耐性 | AiTM 耐性 | MFA 疲労耐性 |
|---|---|---|---|
| FIDO2 (パスキー / セキュリティキー) | ◎ | ◎ | ◎ |
| PKI / スマートカード | ◎ | ◎ | ◎ |
| TOTP (認証アプリ) | ✕ | ✕ | ○ |
| SMS OTP | ✕ | ✕ | ○ |
| プッシュ通知 (番号なし) | ✕ | ✕ | ✕ |
AiTM (中間者) 攻撃への耐性
AiTM (Adversary-in-the-Middle) 攻撃は、攻撃者がユーザーと正規サイトの間に リバースプロキシを設置し、認証情報とセッション Cookie をリアルタイムに中継・窃取する 高度な手法です。ユーザーが偽サイトにパスワードと OTP を入力すると、攻撃者は それをそのまま正規サイトに転送してログインを完了させ、発行されたセッション Cookie を 奪取します。TOTP や SMS OTP はこの攻撃に対して無力です。
FIDO2 ベースの認証は、署名にオリジン (ドメイン) 情報を暗号的に含めるため、 攻撃者のプロキシドメインでは正規サイト向けの署名が生成されません。 これにより AiTM 攻撃が構造的に成立しなくなります。二段階認証の基本で 各方式の違いを詳しく解説しています。
MFA 疲労攻撃への耐性
MFA 疲労攻撃 (MFA Fatigue Attack / MFA Bombing) は、盗んだパスワードで ログインを繰り返し試行し、プッシュ通知を大量に送りつけてユーザーが 誤って「承認」をタップするのを狙う手法です。2022 年の Uber への侵入事件では、 この手法で攻撃者が社内システムへのアクセスを獲得しました。 FIDO2 認証はプッシュ通知を使わず、ユーザーの能動的な操作 (タッチ / 生体認証) を 要求するため、疲労攻撃が成立しません。MFA 疲労攻撃の記事で 実際の攻撃事例と対策を詳しく解説しています。
導入の実務的な考慮点
フィッシング耐性 MFA の導入は、技術的にはパスキーやセキュリティキーの展開で 実現できますが、組織全体への展開には段階的なアプローチが必要です。 まず特権アカウント (管理者、経営層) から導入し、次に一般従業員へ拡大するのが 現実的です。多要素認証の 既存環境からの移行では、TOTP を即座に廃止するのではなく、FIDO2 を優先認証として 設定し、TOTP をフォールバックとして残す並行運用期間を設けます。MFA security books on Amazonも導入計画の参考になります。
現場での使用例
「CISA のガイダンスに従い、全管理者アカウントを YubiKey 必須に切り替えました。 移行前は月 2〜3 件あったフィッシング起因のインシデントが、移行後 18 ヶ月間で ゼロを維持しています。一般従業員にはパスキーを展開中です。」
セキュリティキー導入ガイドも あわせて参照してください。
Was this article helpful?