MFA 疲労攻撃(プッシュ爆撃)
MFA 疲労攻撃(プッシュ爆撃) とは何ですか?
MFA 疲労攻撃(プッシュ爆撃)正しいパスワードを得た攻撃者が大量の MFA プッシュ通知を被害者に送りつけ、混乱や面倒さから誤って承認させる攻撃。
MFA 疲労攻撃(プッシュ爆撃)は、プッシュ通知ベースの多要素認証を狙います。攻撃者はフィッシングやクレデンシャルスタッフィングで有効なパスワードを得たうえで、繰り返しログインを試み、被害者のスマートフォンに大量のプッシュ承認要求を送ります。被害者は煩わしさから「承認」を押したり、正規通知と誤認したりします。代表例は 2022 年の Uber 侵害と 2022 年の Cisco 侵入で、いずれも Lapsus$ や EXOTIC LILY の手口と関連します。対策はナンバーマッチング、コンテキスト付きプッシュ、レート制限、連続拒否によるブロック、そしてフィッシング耐性のある FIDO2 やパスキーへの移行です。
● 例
- 01
Uber 2022:外部委託者が数十回の試行後にプッシュを承認し、初期侵入を許した。
- 02
Cisco 2022:ビッシングとプッシュ爆撃の併用で企業 VPN の MFA を回避。
● よくある質問
MFA 疲労攻撃(プッシュ爆撃) とは何ですか?
正しいパスワードを得た攻撃者が大量の MFA プッシュ通知を被害者に送りつけ、混乱や面倒さから誤って承認させる攻撃。 サイバーセキュリティの ID とアクセス カテゴリに属します。
MFA 疲労攻撃(プッシュ爆撃) とはどういう意味ですか?
正しいパスワードを得た攻撃者が大量の MFA プッシュ通知を被害者に送りつけ、混乱や面倒さから誤って承認させる攻撃。
MFA 疲労攻撃(プッシュ爆撃) はどのように機能しますか?
MFA 疲労攻撃(プッシュ爆撃)は、プッシュ通知ベースの多要素認証を狙います。攻撃者はフィッシングやクレデンシャルスタッフィングで有効なパスワードを得たうえで、繰り返しログインを試み、被害者のスマートフォンに大量のプッシュ承認要求を送ります。被害者は煩わしさから「承認」を押したり、正規通知と誤認したりします。代表例は 2022 年の Uber 侵害と 2022 年の Cisco 侵入で、いずれも Lapsus$ や EXOTIC LILY の手口と関連します。対策はナンバーマッチング、コンテキスト付きプッシュ、レート制限、連続拒否によるブロック、そしてフィッシング耐性のある FIDO2 やパスキーへの移行です。
MFA 疲労攻撃(プッシュ爆撃) からどのように防御しますか?
MFA 疲労攻撃(プッシュ爆撃) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- identity-access№ 708
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
- identity-access№ 883
プッシュ認証
ID プロバイダーが信頼済みのモバイルアプリにサインイン要求を送り、利用者がタップ操作で承認または拒否する MFA 方式。
- identity-access№ 414
FIDO2
FIDO アライアンスの開かれた認証規格で、WebAuthn(ブラウザ API)と CTAP(認証器プロトコル)を組み合わせ、フィッシング耐性のあるパスワードレスサインインを実現する。
- identity-access№ 793
パスキー (Passkey)
フィッシング耐性のある FIDO2/WebAuthn 資格情報。端末に紐付くか同期可能な非対称鍵ペアで、パスワードを暗号学的チャレンジ-レスポンスに置き換える。
- attacks№ 1065
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
- attacks№ 232
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。