MFA バイパスとは
この記事は約 2 分で読めます
MFA バイパスとは、多要素認証 (MFA) を回避して不正アクセスを成功させる攻撃手法の総称です。MFA はパスワード単体よりもはるかに強力な防御ですが、「MFA を導入すれば安全」という過信は危険です。攻撃者は MFA の実装上の弱点や人間の心理を突く手法を次々と開発しており、2022 年以降、MFA バイパスを用いた大規模侵害が相次いでいます。
AiTM (Adversary-in-the-Middle) 攻撃
AiTM 攻撃は、攻撃者がユーザーと正規サイトの間にリバースプロキシを設置し、認証プロセス全体を中継する手法です。ユーザーが入力したパスワードと MFA コードをリアルタイムで正規サイトに転送し、認証成功後に発行されるセッショントークンを窃取します。
ID + パスワード + MFA
認証情報を中継
認証成功
セッション乗っ取り
Evilginx2 は AiTM 攻撃を自動化するオープンソースツールで、フィッシングページの生成からセッショントークンの抽出までをワンストップで実行します。攻撃者は窃取したトークンを自分のブラウザにセットするだけで、MFA を通過済みのセッションとしてアカウントにアクセスできます。セッションハイジャックの一形態ですが、MFA を完全にバイパスする点で従来の手法より深刻です。
MFA 疲労攻撃 - Uber 2022 年事例
MFA 疲労攻撃 (MFA Fatigue / MFA Bombing) は、プッシュ通知型の MFA を標的にしたソーシャルエンジニアリング手法です。攻撃者は窃取したパスワードで繰り返しログインを試行し、被害者のスマートフォンに大量のプッシュ通知を送りつけます。深夜や早朝に執拗に通知を送り続け、被害者が誤って「承認」をタップするのを待ちます。
2022 年 9 月の Uber 侵害事件では、18 歳の攻撃者がこの手法で従業員の MFA を突破しました。深夜に大量のプッシュ通知を送った後、WhatsApp で IT サポートを装って「承認しないと通知が止まらない」と連絡し、従業員に承認させたとされています。この事件は MFA 疲労攻撃の危険性を世界に知らしめ、Microsoft や Okta がプッシュ通知に番号照合 (Number Matching) を導入するきっかけとなりました。MFA 疲労攻撃の記事で詳しく解説しています。
SIM スワップによる SMS OTP 窃取
SIM スワップは、攻撃者が携帯キャリアに成りすまして被害者の電話番号を攻撃者の SIM に移転させる手法です。SMS で送信される OTP (ワンタイムパスワード) が攻撃者の端末に届くため、SMS ベースの MFA が完全に無効化されます。2019 年の Twitter CEO Jack Dorsey のアカウント乗っ取りや、暗号資産取引所の顧客資産窃取など、高額被害の事例が多数報告されています。
セッショントークン窃取
MFA を通過した後に発行されるセッショントークン (Cookie) を窃取すれば、MFA 自体を回避する必要がありません。インフォスティーラー型マルウェアはブラウザに保存されたセッション Cookie を抽出し、攻撃者の C2 サーバーに送信します。窃取された Cookie は「pass-the-cookie」攻撃に使用され、攻撃者は被害者のセッションをそのまま引き継げます。セッショントークン窃取対策の記事で防御策を詳しく解説しています。
フィッシング耐性 MFA での対策
| MFA 方式 | AiTM 耐性 | MFA 疲労耐性 | SIM スワップ耐性 |
|---|---|---|---|
| SMS OTP | ✗ | - | ✗ |
| TOTP アプリ | ✗ | - | ✓ |
| プッシュ通知 | ✗ | ✗ (番号照合なし) | ✓ |
| FIDO2 / パスキー | ✓ | ✓ | ✓ |
フィッシング耐性 MFA は、上記のバイパス手法すべてに耐性を持つ認証方式です。FIDO2 / WebAuthn ベースの認証では、秘密鍵がデバイスから外に出ず、認証時にオリジン (接続先ドメイン) を暗号学的に検証するため、AiTM プロキシ経由の認証リクエストを自動的に拒否します。
「MFA を入れているから安全」は過去の常識です。SMS OTP やプッシュ通知はもはや十分な防御とは言えません。二要素認証の記事で各方式の比較を、MFA 疲労攻撃の記事で具体的な防御策を解説しています。
認証セキュリティの関連書籍は Amazonでも探せます。
この記事は役に立ちましたか?