MFA Prompt Bombing は、多要素認証 (MFA) によって保護されたシステムにアクセスするために攻撃者が使用する効果的な攻撃方法です。 攻撃者は、大量の MFA 承認要求をユーザーに送信して、要求でユーザーを圧倒します。 クリックを XNUMX 回間違えると、攻撃者がアクセスできてしまいます。
MFA Prompt Bombing の嫌がらせのレベルに関係なく、ユーザーが MFA 要求を受け入れてアカウントへのアクセスを許可するか、標的のシステムで悪意のあるコードを実行する方法を提供することを目的としています。 セキュリティ業界は、MFA プロンプト ボム攻撃をソーシャル エンジニアリングの一形態と見なしています。 このよく知られた攻撃ベクトルは、攻撃者の間で人気を博したのはここ XNUMX 年間だけですが、多くのユーザーやセキュリティ チームは、この攻撃手法をまだ認識していません。
MFA プロンプト爆撃の実施中
最もよく知られている成功した MFA Prompt Bombing 攻撃の XNUMX つは、Lapsus$ ハック グループによって実行されました。 彼らの行動は、プッシュ通知を含む特定の設定の弱点を浮き彫りにしました。 最近の成功した攻撃では、ハッカー グループは、被害者が最終的にアクセスを承認するまで、ユーザーに大量のリクエストを送信しました。 このグループはまた、MFA ベンダーの機能を利用して、従業員が認証のために許可されたデバイスに電話をかけ、第 XNUMX 要素として特定のキーを押すことを許可しました。
グループの Telegram チャット チャネルに Lapsus$ メンバーが投稿した声明は、サイバー犯罪者の厚かましい戦術を示しています。 従業員が寝ようとしている午前 100 時に 1 回電話をかけると、ほとんどの場合、受け入れてくれます。 エージェントが最初の通話に応答したら、MFA 登録ポータルにアクセスして別のデバイスを登録できます。」
使いやすさとセキュリティのバランス
MFA プロンプト ボム攻撃の悪名が高まるにつれて、一部の組織は、認証要求のプッシュ通知を無効にし、代わりにワンタイム パスワード (OTP) を強制することを決定しました。 これらは、攻撃者が機密情報やリソースにアクセスするのをより困難にすることを目的としていますが、ユーザーは SMS 経由で送信される数値コードなどの追加のログイン情報を提供する必要があるため、ユーザー エクスペリエンスが低下します。
OTP はプッシュ通知よりも少し安全かもしれませんが、ユーザー エクスペリエンスが低下します。 企業は、使いやすさとセキュリティの間の適切なバランスを見つけるように注意する必要があります。
MFA プロンプト爆撃攻撃に対して企業ができること
OTP に切り替えるのではなく、一定数の通知を超えたときに MFA プッシュ通知を自動的に拒否する方がよいでしょう。 したがって、攻撃が発生した場合、エンド ユーザーは少数の MFA 通知しか受信しませんが、セキュリティ チームは、バックグラウンドでユーザーのアクティビティ ログに大量の MFA 要求があることを警告されます。
MFA 保護の適切なレベルのセキュリティと使いやすさを見つけることになると、プッシュ通知は依然として推奨されるソリューションです。 ただし、適切なセキュリティ対策を講じて実装する必要があります。
包括的な ID 保護
包括的な ID 保護を確保するには、侵害された資格情報を悪用して標的のリソースにアクセスする ID ベースの攻撃をリアルタイムで防止、検出、および対応するために構築された ID 脅威保護プラットフォームを展開します。 このような ID 脅威保護ソリューションは、継続的な監視、リスク分析、およびオンプレミスとクラウドのすべてのユーザー、システム、および環境に対するゼロ トラスト アクセス ポリシーのリアルタイムの適用を通じて、ID ベースの攻撃を防ぎます。 このテクノロジーは、エンドツーエンドの MFA 保護と、オンプレミスとクラウド内のすべての認証の継続的な監視を保証します。
MFA プロンプト ボム攻撃に対する専用の保護を提供するために、このテクノロジは適応型ブロックを有効にします。短期間に一定数の MFA 要求が拒否されると、ユーザーは要求されなくなり、要求は自動的に拒否されます。
リスクベースのポリシーを保護する
さらに、ユーザーが短期間に異常な数のリクエストを受信した場合など、異常な MFA アクティビティのリスクを検出して防止する、リスクベースのポリシーを作成できます。 これにより、管理者は、承認されていないユーザーが会社のリソースにアクセスするのを確実にブロックできます。
さらに、このソリューションは、すべてのユーザー認証要求の悪意のあるアクティビティとリスクを自動的に識別し、拒否された各 MFA 要求に関する詳細情報を提供します。 管理者は、日次レポートを通じて、または syslog イベントを SIEM に転送することによって、すべてのアクセス要求を監視できます。
MFA Prompt Bombing などのソーシャル エンジニアリング攻撃は、特に人間の弱点を悪用しようとします。 したがって、技術的なセキュリティ上の予防措置に加えて、この種の攻撃に備えるために、従業員には常に包括的な情報を提供する必要があります。 上記の対策により、企業は迅速な爆撃攻撃に対する回復力を強化し、攻撃者が MFA 保護をバイパスすることを大幅に困難にすることができます。
詳細は SilverFort.com をご覧ください
シルバーフォートについて Silverfort は、エンタープライズ ネットワークとクラウド環境全体で IAM セキュリティ制御を統合して ID ベースの攻撃を軽減する、初の統合 ID 保護プラットフォームを提供します。 Silverfort は、革新的なエージェントレスおよびプロキシレス テクノロジーを使用して、すべての IAM ソリューションとシームレスに統合し、リスク分析とセキュリティ制御を統合し、自社開発およびレガシー アプリケーション、IT インフラストラクチャ、ファイル システム、コマンド ラインなど、以前は保護できなかった資産に対象範囲を拡大しました。ツール、マシン間アクセスなど。