多要素認証破る「MFA Bombing」攻撃　Uberなどにセキュリティ侵害

「MFA Bombing」

　今回の攻撃で注目を集めたのがその手法だ。Uberによると、攻撃者はダークWebでUber VPNのログイン情報を取得したようだという。Dark Readingの解説では、以下のような仕組みだった。

　まず、Uberの外注スタッフの私用端末がマルウェアに感染し、そこからUberのVPNログイン情報が漏えいした。この情報がダークウェブで取引され、攻撃者が情報をもとにログインを仕掛けた。攻撃者は技術サポートを装い、WhatsAppで外注スタッフに連絡して認証させた――。

　外注スタッフには2段階認証のログイン承認リクエストが送られ、何度かはブロックされたようだ。だが、「最初はアクセスを遮断したが、最終的に受け入れてしまい、攻撃者がログインに成功した」とUberは経過を報告している。

　この手法は「MFA Bombing」と呼ばれるものだ。MFAは、複数の要素で本人確認する認証方法で、ID・パスワードとスマートフォンの認証アプリといった組み合わせを使う。今回のMFA Bombingでは、スマートフォンなどのサブデバイスに承認要求を送りつけ、ユーザーに認めさせた。

　Xage SecurityのCEO、Duncan Greatwood氏は、何度も送られる承認要求にイライラして、「認める」ボタンを押してしまうこともあるとDark Readingに解説している。MFA Bombingは、Lapsus$がよく利用する手段としても知られている。

　「テック企業内部で足場を獲得するための、この種のソーシャルエンジニアリング攻撃が増えている」とSocialProof SecurityのCEO、Rachel Tobac氏はNew York Timesにコメントしている。2020年のTwitterへの攻撃、それにMicrosoft、Oktaなども同じようなソーシャルエンジニアリング攻撃に遭っていると付け加えている。

　いったんセキュリティを破られると修復は複雑になる。英サリー大学のAlan Woodward教授（サイバーセキュリティ）は「ハッカーはハイレベルのアクセス権を掌握しているので、ネットワークからハッカーを削除できたかは分かりにくい。システムを大規模に再構築する必要があるかもしれず、そうなるとかなりの混乱になる」とThe Guardianに述べている。