「多要素認証も突破される」――Oktaが攻撃の現状と対策を解説

　Okta Japan株式会社は6月30日、消費者のアカウント情報を標的とした攻撃の現状と対策について説明会を開催した。

　攻撃の内容は、Oktaが顧客にグローバルで提供している顧客アイデンティティ管理サービス「Auth0」で観測された脅威動向データがもとになっている。調査対象期間は、2024年1月1日から12月31日までの1年間だ。

　Okta Japan 日本担当リージョナルCSOの板倉景子氏は、「顧客アイデンティティへの攻撃の種類は3つある」として、1）偽アカウントを作成するサインアップ攻撃、2）アカウントを乗っ取るログイン攻撃、3）多要素認証（MFA）の悪用――を挙げ、「それぞれ目的とアプローチが異なるため、別々の対策が必要だ」と語る。

Okta Japan 日本担当リージョナルCSO 板倉景子氏

日常的に発生するサインアップ攻撃

　まず、サインアップ攻撃は、ボットやスクリプトが自動的に何千ものアカウントを不正に作成するというもの。その目的として板倉氏は、「サインアップ時の特典を不正に取得することや、アカウントを熟成させて通常のアカウントと見分けられないようにしてから後日攻撃に使うこと、マーケティングデータを汚染させること、大量のアカウント登録によってシステムをダウンさせるDoS攻撃などがある」と説明する。

　サインアップ攻撃は日常的に発生しているという。板倉氏によると、全体の登録リクエストのうち、不正なリクエストと判定された登録試行の中央値は46.1％で、ピーク時では92.5％が不正な攻撃だったとのこと。「年間を通して計画的かつ組織的な攻撃が継続的に発生している。AIを悪用することで、大規模な不正登録が効率的にできるようになったことも、攻撃が多い大きな要因だ」と板倉氏は警告している。

サインアップ攻撃

より深刻度の高いログイン攻撃

　ログイン攻撃では、正規ユーザーのアカウントを攻撃者が乗っ取り、そのユーザーになりすましてアカウントを利用する。手法としては、パスワードを推測して乗っ取るケースや、ダークウェブなどに流出している認証情報を悪用するケース、フィッシングやソーシャルエンジニアリングなど別の攻撃で盗み出した認証情報を悪用するケースがある。

　この攻撃は、「サイアップ攻撃以上に深刻なセキュリティとプライバシーリスクがある」と板倉氏。例えばB2Cの場合では、正規ユーザーが持つポイントや特典を不正に取得するため、ユーザーは直接損害を被ることになる。またB2Bの場合では、正規ユーザーのアクセス権を悪用することで、機密情報の漏えいや、規制違反によって多額の罰金が必要となるリスクもある。

ログイン攻撃

　証券会社で相次いでいる不正アクセスも、正規ユーザーの認証情報を悪用するログイン攻撃によるものだ。金融庁の発表によると、5月末時点での不正アクセスの件数は1万422件で、不正売却金額と不正買付金額の合計は約5240億円にものぼっている。4月末の不正取引金額は約2886億円だったことから、被害が急速に拡大していることがわかる。

証券会社で相次ぐ不正アクセス（金融庁のデータより）

　ログイン攻撃でもAIが大きな役割を果たしているという。パスワードの推測においては、「AIが漏えいしたパスワードのデータセットからパターンや傾向を学習し、効率的にパスワードを推測、総当たり攻撃を実行し、アカウント乗っ取りの速度を向上させている」と板倉氏。

AI技術を活用しパスワードを効率的に推測

　認証情報を悪用する際も、脆弱性診断などに使われるログイン自動化ツールが攻撃に悪用される事例が増えており、「AIと組み合わせてCAPTCHAを回避したり、アプリケーションのレスポンスを解析し、認証成功率の高い情報を特定したりして、より効率的にログインすることが可能になっている」（板倉氏）という。

　フィッシング攻撃でもAIが悪用されており、「生成AIによって本物そっくりのメールやサイトが容易に作成できるようになったほか、住宅用プロキシを使った通信元の偽装もAIで最適化され、リスクベース認証をすり抜けている」と板倉氏は説明する。

有効な対策のはずのMFAも突破

　MFAは、攻撃を避ける有効な対策とされているが、それでも突破されることがある。その手法のひとつとして板倉氏は、MFA疲労攻撃とAiTM（Adversary in the Middle）攻撃を紹介した。

　MFA疲労攻撃とは、攻撃者が事前にフィッシングなどで盗んだユーザー名とパスワードを使い、システムへのログインを何度も試行、認証アプリに大量のMFAプッシュ通知を流し、ユーザーが大量の通知にうんざりして承認することをねらう手法だ。

　もうひとつのAiTM攻撃は、正規のログインサイトに酷似したフィッシングサイトを使う中間者攻撃で、リアルタイムフィッシングともいわれる。この攻撃では、攻撃者がリバースプロキシを仕込んだフィッシングサイトを作成、ユーザーが正規のサイトと思い込んで入力したIDやパスワードは、リバースプロキシを介して本物のサイトに送信される。MFAの要求に対しても、ユーザーはリバースプロキシ経由でワンタイムパスワードを入力、その情報が攻撃者を通じて正規のサイトに渡されることになる。

MFAの悪用

それぞれの攻撃への対策は？

　最後に板倉氏は、それぞれの攻撃に対する防御策について説明した。まずサインアップ攻撃の防御には、「アイデンティティプラットフォームでの対策に加え、クラウドインフラなどにおいても対策を実施するなど、多層的な防御アプローチが必要だ」としている。

　「まず、クラウドのホスティング層でDDoS対策やボット検知、レート制限など基本的なネットワーク防御を実施し、初期段階で攻撃をフィルタリングする。そしてアイデンティティプラットフォームでは、ウェブアプリケーションファイアウォールを利用し、悪質なIPや地理的情報、HTTPヘッダー要素などを活用して攻撃をブロックする」（板倉氏）。

多層のアイデンティティレイヤーでの防御

　ログイン攻撃に対しては、「漏えいしたパスワードは検出サービスなどを用いて確認し、強制リセットするように。また、パスワードの再利用を禁止し、複雑なパスワードを要求するポリシーも有効だ。さらに、不要な機能やAPIエンドポイントを無効化し、攻撃対象を減らしてもらいたい」と板倉氏。また、物理的に不可能な場所からのアクセスをブロックするリスクベース認証の実装も推奨しつつ、「ユーザーの利便性を損ねないようにすることも重要だ」としている。

　MFAの実装においては、「抜け道を作らないこと」と板倉氏は強調する。抜け道の例として板倉氏は、認証時にMFAを要求しても、パスワードリセットの際にMFAが省略されるような設計を挙げ、リスクの高い箇所にはすべてにMFAを適用するよう呼びかけている。また、旧来のSMSベースなどの認証手法は攻撃に弱いため、生体認証や所有ベースの認証方式を推奨している。

　一方で、すべてのアクセスにMFAを適用するとユーザー体験を損ねる可能性があることから、「セキュリティと利便性のバランスを取る考え方として、Adaptive MFAというリスク評価に基づいた追加認証を求める仕組みが重要だ」と話す。

　さらに板倉氏は、最も根本的で効果的な方法として、パスワードレス認証を推奨。この方法では、「フィッシング耐性が強化されるだけでなく、ユーザーや運用者の利便性も大幅に向上する」としている。