読み方 : たようそにんしょうひろうこうげき
多要素認証疲労攻撃【MFA fatigue attack】MFA疲労攻撃
多要素認証疲労攻撃とは?
多要素認証(MFA)は、パスワードに加えてスマートフォンへのプッシュ通知による承認など、複数の認証手段を組み合わせることでセキュリティを高める仕組みである。プッシュ通知型の方式では、正規の利用者がログインを試みると、登録済みのデバイスに「ログインを承認しますか?」といった通知が届き、利用者がそれを承認することで認証が完了する。
攻撃者はあらかじめ何らかの方法で標的のIDやパスワードを入手したうえで、ログイン試行を短時間に何度も繰り返す。その度に標的のスマートフォンへ承認要求の通知が届くため、通知が絶え間なく届く状態となる。この状態が長時間続くと、標的の利用者は「誤作動か」「通知を止めたい」という心理から、深く考えずに承認ボタンを押してしまうことがある。
この攻撃はプッシュ通知型の多要素認証で多く報告されているが、電話による音声認証やSMSコードでも発生し得る。攻撃者は深夜や業務時間外など、利用者が注意力を保ちにくい時間帯を選ぶことがある。通知に加えて電話やメッセージで正規のサポート担当者を装い、承認操作を促す手口と組み合わせる場合もある。技術的な脆弱性ではなく利用者の疲労や混乱を誘発することが狙いであり、ソーシャルエンジニアリングの一種に分類される。
対策としては、プッシュ通知型の承認に代えて、アプリ上に表示された数字をログイン画面に入力する「番号照合」方式の採用が有効とされている。この方式では、攻撃者が大量の通知を送っても利用者側に照合すべき数字が表示されないため、不正な承認を抑止できる。また、短時間に一定回数以上の認証失敗が発生した場合に一時的にアカウントをロックする仕組みも有効だが、正規の利用者まで締め出してしまい利便性の低下に繋がる場合もある。
共有ボタンをタップ