Evasión de MFA - Técnicas que derrotan la autenticación multifactor

Lectura de 2 min aprox.

MFA バイパスとは、多要素認証 (MFA) を 回避して不正アクセスを成功させる攻撃手法の総称です。MFA は パスワード単体よりもはるかに強力な防御ですが、「MFA を導入すれば安全」 という過信は危険です。攻撃者は MFA の実装上の弱点や人間の心理を 突く手法を次々と開発しており、2022 年以降、MFA バイパスを用いた 大規模侵害が相次いでいます。

AiTM (Adversary-in-the-Middle) 攻撃

AiTM 攻撃は、攻撃者がユーザーと正規サイトの間にリバースプロキシを 設置し、認証プロセス全体を中継する手法です。ユーザーが入力した パスワードと MFA コードをリアルタイムで正規サイトに転送し、 認証成功後に発行されるセッショントークンを窃取します。

Evilginx2 は AiTM 攻撃を自動化するオープンソースツールで、フィッシングページの 生成からセッショントークンの抽出までをワンストップで実行します。 攻撃者は窃取したトークンを自分のブラウザにセットするだけで、 MFA を通過済みのセッションとしてアカウントにアクセスできます。セッションハイジャックの 一形態ですが、MFA を完全にバイパスする点で従来の手法より深刻です。

MFA 疲労攻撃 - Uber 2022 年事例

MFA 疲労攻撃 (MFA Fatigue / MFA Bombing) は、プッシュ通知型の MFA を標的にしたソーシャルエンジニアリング手法です。 攻撃者は窃取したパスワードで繰り返しログインを試行し、被害者の スマートフォンに大量のプッシュ通知を送りつけます。深夜や早朝に 執拗に通知を送り続け、被害者が誤って「承認」をタップするのを待ちます。

2022 年 9 月の Uber 侵害事件では、18 歳の攻撃者がこの手法で 従業員の MFA を突破しました。深夜に大量のプッシュ通知を送った後、 WhatsApp で IT サポートを装って「承認しないと通知が止まらない」と 連絡し、従業員に承認させたとされています。この事件は MFA 疲労攻撃の 危険性を世界に知らしめ、Microsoft や Okta がプッシュ通知に番号照合 (Number Matching) を導入するきっかけとなりました。MFA 疲労攻撃の記事で 詳しく解説しています。

SIM スワップによる SMS OTP 窃取

SIM スワップは、 攻撃者が携帯キャリアに成りすまして被害者の電話番号を攻撃者の SIM に 移転させる手法です。SMS で送信される OTP (ワンタイムパスワード) が 攻撃者の端末に届くため、SMS ベースの MFA が完全に無効化されます。 2019 年の Twitter CEO Jack Dorsey のアカウント乗っ取りや、 暗号資産取引所の顧客資産窃取など、高額被害の事例が多数報告されています。

セッショントークン窃取

MFA を通過した後に発行されるセッショントークン (Cookie) を窃取すれば、 MFA 自体を回避する必要がありません。インフォスティーラー型マルウェアは ブラウザに保存されたセッション Cookie を抽出し、攻撃者の C2 サーバーに 送信します。窃取された Cookie は「pass-the-cookie」攻撃に使用され、 攻撃者は被害者のセッションをそのまま引き継げます。セッショントークン窃取対策の記事で 防御策を詳しく解説しています。

フィッシング耐性 MFA での対策

フィッシング耐性 MFA は、 上記のバイパス手法すべてに耐性を持つ認証方式です。FIDO2 / WebAuthn ベースの認証では、秘密鍵がデバイスから外に出ず、認証時にオリジン (接続先ドメイン) を暗号学的に検証するため、AiTM プロキシ経由の 認証リクエストを自動的に拒否します。

「MFA を入れているから安全」は過去の常識です。SMS OTP やプッシュ通知は もはや十分な防御とは言えません。二要素認証の記事で 各方式の比較を、MFA 疲労攻撃の記事で 具体的な防御策を解説しています。

認証セキュリティの関連書籍は Amazonでも探せます。