MFAバイパス攻撃の手口

MFAバイパス攻撃とは何か？

多要素認証（MFA）バイパス攻撃は、攻撃者が組織の MFA 制御を回避して不正アクセスに成功した場合に発生します。認証方法は予防のための重要な要素ですが、攻撃者がアカウントにアクセスできないとは限りません。攻撃者はMFA要件を回避して、VPNアクセス、ネットワーク・リコン、ユーザー名とパスワードの盗用、そして最終的には機密データの流出を行うことができます。 

一般的なMFAバイパス・テクニック

一般的な MFA バイパス技術には以下のようなものがある：

• フィッシング攻撃を受ける： 攻撃者はしばしば巧妙な フィッシング攻撃者はしばしば、ユーザーを騙して MFA 認証情報を提供させる巧妙なテクニックを使用する。

• MFA 疲労攻撃： 攻撃者は被害者に何度もMFAリクエストを送りつけ、ユーザが承認するまで検証リクエストを殺到させる。

• SIMスワッピング： 攻撃者は、被害者の電話番号を別のデバイスのSIMカードに転送するようキャリアを説得することで、電話番号を乗っ取る。この手口は、SMSベースの認証の普及により一般的になりつつある。 

• セッションハイジャック： 攻撃者はアクティブなビジネス・アプリのセッションを乗っ取り、MFA 手法を完全にバイパスする。一旦セッションをコントロールすると、攻撃者は新しいMFAデバイスを追加したり、パスワードをリセットしたり、乗っ取ったアカウントを使って企業ネットワーク内を移動したりすることができます。 

• MFA の欠陥の悪用： 攻撃者は、通常、統合された OAuth およびシングルサインオン（SSO）システムにおいて、2 つ目の認証要素をバイパスできるような設定ミスやその他の脆弱性を見つけます。 

MFAをバイパスする攻撃者を検出する

セキュリティ・キーや生体認証などの高度なMFAソリューションは、企業のセキュリティにとって重要な要素である。しかし、そこで立ち止まってはならない。不審な動きがないか環境を監視し、MFAバイパス攻撃が発生したらすぐにキャッチできるようにすることも同様に重要です。 

Vectra AIは、150以上の検出モデル（AI主導 ）を使用して、攻撃者がMFAやその他の防止策を回避するタイミングを明らかにします。90%以上のMITRE ATT&CK カバレッジと、他のベンダーよりも多いMITRE D3FEND フレームワークの 11 の参照により、Vectra AI は、サイバー犯罪者が MFA を回避するために使用する一般的なテクニックを検出します：

• MFA-不審なサインオンの失敗
• MFA 無効
• 不正アクセスの疑い
• 特権操作の異常
• M365 不審な為替輸送ルール

例えば、購入したVPNアクセスから始まったある模擬攻撃では、攻撃者は次のようなことを行った：

• RDPで横方向に移動するためのネットワーク偵察を実施
• 盗んだ認証情報を使ってSharePointとソースコードに侵入
• 冗長アクセスのために新しい管理者アカウントを作成し、将来的な流出のためにトランスポート・ルールを作成しようとした。
  

しかし、Vectra AIを使えば、守備側は、どのエンティティが影響を受けているのか、各表面が占拠されているのか、どのようなレスポンス アクションを取ればいいのかを把握し、問題のアカウントを迅速にロックダウンすることができる。

Vectra AIがどのようにしてアクティブMFAバイパス攻撃を暴露したかを見る。

悪名高いサイバー犯罪グループがMFAを迂回し、認証情報を盗み、横方向に移動し始めたらどうなるでしょうか？Lapsus$ ランサムウェア・グループが MFA バイパスを使用して企業ネットワークに侵入する方法を以下に示し、同様の攻撃を発見するためにAI主導 の検出が不可欠である理由を学んでください。