多要素認証破る「MFA Bombing」攻撃　Uberなどにセキュリティ侵害

MFA Bombingへの対策は

　セキュリティが堅固とされる多要素認証の突破。セキュリティはよく、いたちごっこと言われるが、今回の事件はまさにそれを具現化した。専門家はMFA Bombingについて警告している。

　InfotmationWeekは、「半数以上の企業がMFAを導入している」というCyberEdge Groupの調査を引用しながら、MFAでも「確実ではない」として見直す必要があると述べている。あわせて、ソーシャルエンジニアリング攻撃への対策、リスクの把握なども必要だとアドバイスする。

　防御側には、ソーシャルエンジニアリングを用いた攻撃を試みられていることを感知するトレーニングが必要だが、人間はミスを犯すものだ。Strive Consultingのサイバーセキュリティサービス担当シニアディレクターのKurt Alaybeyoglu氏は「ミスは熟練のセキュリティ専門家を含めて誰にでも起こりうる。だからこそ、多層防御のアプローチが重要と過去20年間言われてきた」とInformationWeekに語っている。

　サイバーセキュリティのBlueVoyantのEMEA地域情報セキュリティとコンプライアンスディレクター、Tom Huckle氏は「多要素認証を導入していても、回避されうることが証明された」とVerdictに述べている。「全体的なセキュリティプログラムが最高の防御になる。適切なリソースがあり、脅威を継続的に見直しして、スタッフの間に認知と適切な懐疑心を持つ文化を奨励することが大切だ」

　9月23日、ロンドン市警察は英国家サイバー犯罪ユニット（NCCU）の協力を得て、イングランド南東部のオックスフォードシャーで17歳の少年をハッキング容疑で逮捕したと発表した。それ以上の情報は公開されていないが、セキュリティ専門家は、少年がUberのハッキングに関与したLabsus$のリーダーではないかと推測している。

　少年は、ゲームソフト「GTA」（グランド・セフト・オート）を開発するRockstar Gamesへのハッキングも行っていたという。Rockstarは9月19日に次期版「GTA 6」の動画やソースコードなどが流出したことを発表していた。

　「ハッカーは『TeaPot』というハンドルネームで、Uberのネットワークに簡単に侵入した。Rockstar（から不正取得した）のGTA 6の早期段階の動画など90本の動画を流出させた」と伝えられている。

　Forbesは、今年3月にも、同じオックスフォードシャーでLapsus$グループが関与した活動で少年が逮捕されており、同じ人物かもしれないと記している。