多要素認証（MFA）の悪用が横行していることをまだ十分にご存知でない方のために、ここでいくつか話題をご紹介し、新たな課題が表面化していることをお伝えします。MFAの悪用は最近よく話題に上がっており、私は少し前にこの問題を取り上げるためにブログを書きました。当時とMFAの脆弱な要素は変わっておらず、現行の環境下で更に悪用が増加している可能性があります。では、何が新しいのかについて説明しましょう。

マイクロソフトの研究者が報告したように、（サービスとしての）ロボットがアカウント乗っ取り詐欺を自動化しており、これはハッキングの可能性が膨大なものになっていることを意味しています。これが核心にある問題です。ロボットは、ログイン制御フレームワークの一部で、追加要素を必要とする特定のシナリオの場合に、ステップアップ認証を無効にするMFAトークンログインの取得に関する拡張機能によって、認証情報の盗難ユースケースの自動アクションを実行するように設定されています。それでは、分解して見てみましょう。

検索エンジンの最適化により、なりすましサイトが検索結果やターゲット広告のリストの上位に表示されるようになりました。このような検索結果は、顧客が金融機関のサイトにアクセスするために最初に目にし、クリックするものになり得ます。顧客にサイトへアクセスしてもらう方法は、フィッシングやスミッシングのように他にもあります。もし、この偽サイトが金融機関の顧客に利用させる目的で、その顧客がユーザー名とパスワードの情報をフォームに入力し、不正利用者がアカウントを乗っ取るためにこれらを取得するとしたら、これは問題となるでしょう。実際、金融業界では高い頻度で見受けられます。悪質な業者がこのプロセスを自動化するために利用できる技術が存在するのです。

正規のオンライン・バンキング・ページを盗用して別の場所に再現することで、偽サイトが本物と同じように見えるようになります。金融機関にとっては、悪意を持って運営されている偽装サイトの検出から削除までのサイクルを管理しなければならないのは非常に手間です。この削除までのプロセスは、サーバーの場所や、これらのサービスを提供するベンダーとのやり取りによって、数日またはそれ以上かかることがあります。事実上、このようなサイトには問題があり、運営上封じ込めることが困難であることは、検出から削除までの各サイクルで詐欺の試みが成功する可能性に起因します。これは出発点に過ぎず、次に紹介するのは非常に悪質なものです。

ここで、この分野の最新の要素であるロボットに話を戻しましょう。例えば、なりすましサイトの裏にロボットがいて、ログイン認証情報を取得した後に正規のオンラインバンキングサイトに移動し、ボットが盗んだ認証情報をフォームに入力してログインボタンを押したとしましょう。その後、正規のサイトは、新規またはリスクのあるエンドポイントからのログイン異常を検出すると、正規のユーザーに対してMFAリクエストを送信します。この時点で、正規のユーザーは何も問題ないかのように思えるため、攻撃者の罠にかかり、このMFAトークンを攻撃者に提供してしまいます。突然、攻撃者があなたのサイトに入って認証され、他の要素を組み込んでオンライン・バンキングが乗っ取られたことを正規の利用者に気付かせないように細工する可能性があります。

つまり、正規の利用者の操作によってログイン画面が突破され易くなっていることから、我々はこれを確実に制御できるようにする必要があるのです。参照した記事や以前のブログ記事で述べたように、業界がFIDO2に移行することでこのリスクの一部が解決され、攻撃と顧客の関連性を排除し、ローカル認証を使用することで長期的に被害が改善されます。しかし、セッションとトランザクションの監視をさらに強化することが重要であることは変わりません。現状では、ATOの脅威に対する抑止力として、適切な拒否と警告のコントロールがあることを保証することが、現時点での適切な体制と言えます。デジタル資産の防御において、これらのフォールバック制御を設定し、オンラインセッションにおける攻撃者、ボット、またはリスクの高い一連のイベントを認識する能力を持つことは、特に被害発生前に原因を排除できるのであれば重要です。例によって、金融機関のデジタル領域を防衛するための敏捷性と準備態勢を示すことにおいては、先行した対策を講ずればより優位に働きます。

＜参考URL＞

New Account Takeover Automation Techniques Abuse Multi-Factor Authentication (biocatch.com)