【えむえふえーふぁてぃーぐこうげき】

MFAファティーグ攻撃 とは?

公開:
💡 「うっかりOK」を待ち続ける嫌がらせ攻撃
📌 このページのポイント
MFAファティーグ攻撃の仕組み 攻撃者 パスワードは 既に入手済み 通知 ×何十回 ユーザーの スマートフォン 「承認しますか?」 「承認しますか?」 ユーザー 疲れた… ✔ 誤承認 うっかりOK! アカウント 乗っ取り 対策 ① Number Matching機能を有効化 ② 大量通知が来たらすぐにIT部門へ報告
疲れてOKしてしまう「MFAファティーグ攻撃」のイメージ
ひよこ ひよこ
ペンギン先生、MFAファティーグ攻撃って何なの?
ペンギン先生 ペンギン先生
攻撃者がMFAの「承認しますか?」という通知を何十回も連続で送りつけて、ユーザーが疲れて誤ってOKを押してしまうことを狙う攻撃だよ。Fatigue(疲労)攻撃とも呼ばれるんだ。
ひよこ ひよこ
スマホに通知がドバドバ来るってこと?
ペンギン先生 ペンギン先生
そうだよ。深夜に何十回もMFA通知が届いて、「誰かが自分のアカウントにアクセスしようとしている」と焦ったユーザーが間違えてタップしてしまうんだ。あるいは単純に「もう消えてほしい」と疲れてOKしてしまうこともあるんだよ。
ひよこ ひよこ
実際に使われた攻撃なの?
ペンギン先生 ペンギン先生
Scattered SpiderというハッカーグループがMGMリゾーツに侵入したとき、このMFAファティーグ攻撃とソーシャルエンジニアリングを組み合わせて使ったことで知られているよ。
ひよこ ひよこ
どうやって防げばいいの?
ペンギン先生 ペンギン先生
「Number Matching」という機能が有効だよ。認証アプリに表示された数字をスマホでも確認して入力しないと承認できない仕組みで、誤タップを防げるんだ。あとは多数のMFA通知が来たらすぐにIT部門に報告することが大切だよ。
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
MFAファティーグ」って出てきたら「プッシュ通知を嫌がらせのように大量送って疲れさせる攻撃」と思えばだいたいOK!
📖 おまけ:英語の意味
「MFA Fatigue Attack」 = 多要素認証疲労攻撃
💬 Fatigue(ファティーグ)は「疲労」の意味。MFAの承認通知を送り続けてユーザーを疲弊させることから名付けられたよ。
← 用語集にもどる