MFA疲労：通知集中攻撃とその阻止方法

MFA疲労や通知集中攻撃について聞いたことがありますか？もし聞いたことがないなら、読み続けてください。 この新しい戦術とサイバー犯罪者がそれをどのように使用するかについて学びましょうこうすることで、MFA 疲労攻撃の被害者になるという不快な経験をした場合に、何をすべきかがわかります。

MFA 疲労: MFA 疲労攻撃とは何ですか?

MFA疲労通知集中攻撃

多要素認証（MFA）は、これまでデジタルセキュリティの強化に効果的に利用されてきました。しかし、 パスワードだけではもはや十分な保護を提供できないここで、SMS、プッシュ通知、または物理キーなど、2 番目 (さらには 3 番目) の検証層を追加することが不可欠になります。

ところで、ユーザーアカウントで多要素認証をすでに有効にしていますか？このトピックについて詳しくない方は、こちらの記事をご覧ください。これが 2 段階認証の仕組みです。セキュリティを強化するために、今すぐ有効にする必要があります。しかし、これは非常に効果的な追加措置ではあるが、 MFAは絶対的なものではないこれは、通知爆撃攻撃としても知られる最近の MFA 疲労攻撃によって非常に明らかになりました。

MFA疲労とは一体何でしょうか？こんな場面を想像してみてください。夜遅く、ソファでくつろぎながらお気に入りの番組を見ています。突然、スマートフォンが激しく振動し始めます。画面を見ると、次々と通知が届きます。「ログインしようとしていますか?「あなたは第一と第二を無視しますが、 同じ通知が何十件も届き続けます。 イライラした瞬間、ただ攻撃を止めさせるために「承認」を押します。

限定コンテンツ - ここをクリックしてくださいハッキング後24時間以内にすべきこと：モバイル、PC、オンラインアカウント

通知爆撃攻撃の仕組み

あなたはMFA疲労の発作を経験しました。しかし、どうしてそんなことが起こるのでしょうか？

何らかの理由で、サイバー犯罪者があなたのユーザー名とパスワードを入手しました。
次に 繰り返しログインを試みる ご利用のサービスによっては、認証システムからMFAアプリにプッシュ通知が送信されます。
問題は、攻撃者が何らかの自動化ツールを使って、 わずか数分間で、数十または数百回のログイン試行が発生します。.
これにより、携帯電話に承認を求める通知が大量に届くようになります。
通知の洪水を止めようとして、 "承認する" これで、攻撃者があなたのアカウントを乗っ取ることになります。

なぜそんなに効果があるのでしょうか?

通知集中攻撃

MFA疲労の目的は、テクノロジーを出し抜くことではありません。むしろ、 忍耐と常識を使い果たすよく考えてみると、セキュリティを守る連鎖の中で最も弱いのは、人的要因です。だからこそ、大量の通知はあなたを圧倒し、混乱させ、ためらわせるように設計されているのです…間違ったボタンを押してしまうまで。たったワンクリックで。

MFA疲労がなぜこんなに効果的なのかの理由の一つは プッシュ通知の承認は非常に簡単です。たった1回のタップで完了し、多くの場合、携帯電話のロックを解除する必要もありません。場合によっては、デバイスを通常の状態に戻す最も簡単な解決策となることもあります。

そしてさらに悪いことに 攻撃者はテクニカルサポート担当者を装って連絡してきます。彼らはおそらく「問題」を解決するために「協力」を申し出て、通知の承認を促してくるでしょう。これは2021年にMicrosoftに対して行われた攻撃の事例で、攻撃グループはIT部門を装って被害者を欺きました。

限定コンテンツ - ここをクリックしてください WhatsAppのバックアップはどこに保存されますか?

MFA疲労：通知集中攻撃とその阻止方法

では、多要素認証疲れを防ぐ方法はあるのでしょうか？はい、幸いなことに、通知の集中砲火に対抗するベストプラクティスは存在します。多要素認証を廃止する必要はありませんが、むしろ… より賢く実装する最も効果的な対策を以下に示します。

リクエストしていない通知は絶対に承認しないでください。

どれだけ疲れていても、イライラしていても、 要求していない通知は絶対に承認しないでください。これは、MFA疲れに陥らせようとするあらゆる試みを防ぐための黄金律です。サービスにログインしようとしていない場合は、MFA通知は疑わしいものとなります。

この点に関して、次のことも覚えておく価値がある。 「問題」を解決するために「支援」するために連絡してくるサービスは存在しない連絡手段がソーシャルネットワークやWhatsAppなどのメッセージアプリの場合はなおさらです。疑わしい通知があった場合は、すぐに会社またはサービスのIT部門またはセキュリティ部門に報告してください。

プッシュ通知をMFAの唯一の方法として使用することは避けてください

確かにプッシュ通知は便利ですが、このような種類の攻撃に対しても脆弱です。 より堅牢な方法を使用することが望ましい 二要素認証の一部として。例：

TOTPコード （時間ベースのワンタイムパスワード）は、Google Authenticatorなどのアプリケーションによって生成され、 Authy。
物理的なセキュリティキーとして YubiKey または Titan セキュリティキー。
番号ベースの認証この方法では、ログイン画面に表示される番号を入力する必要があり、自動承認が防止されます。

限定コンテンツ - ここをクリックしてくださいデジタル衛生の完全ガイド：ハッキングを避けるための最良の習慣

認証試行に制限とアラートを実装する

使用している認証システムを調べて 試行制限とアラートを有効にするMFA 疲労の報告件数が増加しているため、次のようなオプションを組み込む MFA システムが増えています。

一時的に試行をブロックする 何度か連続して拒否された後。
アラートを送信する 短期間に複数の通知が検出された場合は、セキュリティチームに報告してください。
登録と監査 後で分析するためにすべての認証試行を保存します (アクセス履歴)。
2つ目の、より強力な要素を要求する ログイン試行が通常とは異なる場所から行われた場合。
アクセスを自動的にブロックする ユーザーの行動が異常である場合。

つまり、警戒を怠らないでください! 多要素認証を有効にすることは依然として重要な対策である オンラインセキュリティを守るためです。しかし、乗り越えられない壁だと考えないでください。あなたがアクセスできるなら、あなたを騙せば誰でもアクセスできます。だからこそ、攻撃者はあなたを標的にするのです。彼らは、あなたが侵入を許すまで、あなたを困らせようとします。

MFA疲れの罠に陥らないように！通知の集中砲火に屈しないでください。 疑わしいリクエストを報告し、追加の制限とアラートを有効にしますこうすることで、攻撃者の執拗さであなたを狂わせ、間違ったボタンを押させることは不可能になります。

アンドレス・レアル

私は幼い頃から、科学技術の進歩、特に私たちの生活をより楽に、より楽しくするものに関連するものすべてに非常に興味を持っていました。私は最新のニュースやトレンドを常に把握し、使用している機器やガジェットに関する経験、意見、アドバイスを共有することが大好きです。このことがきっかけで、私は 5 年ちょっと前に、主に Android デバイスと Windows オペレーティングシステムに焦点を当てた Web ライターになりました。読者が簡単に理解できるように、複雑なことを簡単な言葉で説明することを学びました。