Microsoftは、MFAを追加することで、すべてのアカウントハックの99.9%を防止できると主張しています
二要素認証(2FA)または多要素認証(MFA)は完全ではありません(完全になることはありません)。やる気のあるサイバー犯罪者は、2FAを回避するのに役立つさまざまなツールとテクニックをすでに開発しており、実際の攻撃でそれらを使用しています。 1日おきに、OTPコードがフィッシングされる方法、および電子メールやSMSなどのメディアがこの種の情報を送信するために必要なセキュリティを提供しない方法について読みます。 Google Authenticatorのような特殊なアプリでさえ、攻撃の成功を免れないため、多くの場合、2FAが提供する追加のセキュリティを疑っています。先月のサンフランシスコでのRSAカンファレンスでのプレゼンテーションで、マイクロソフトのアイデンティティセキュリティディレクターであるAlex Weinertは、これらの恐怖がどれほど無関係であるかを示す統計を発表しました。
侵害されたエンタープライズアカウントのほとんどすべてがMFAを使用していません
Weinertの数値は、MicrosoftのIDおよびアクセス管理システムであるAzure ADのエンタープライズユーザーを示しており、ビジネスクラウドベースのアカウントが常に侵害されているという証拠として機能します(証拠が必要であるかのように)。 1月だけで、マイクロソフトは120万以上のアカウントに対する攻撃の成功を検出しました。 Weinertによると、これはすべてのユーザーの0.5%を表しており、それほど多くは聞こえないかもしれませんが、これらが毎月の統計のみであると考えると、事態は少し心配になり始めます。さらに恐ろしいのは、これらすべての攻撃の明らかな予防可能性です。
正常に侵害されたアカウントのなんと99.9%がMFAによって保護されていませんでした。やる気のある攻撃者が一時的なコードを盗むのではないかと心配して人々が多要素認証を有効にできない一方で、攻撃者自身はそのようなコードをまったく必要とせずにアカウントに侵入しています。採用率がまだ低いことは明らかです.2FAシステムの欠陥を発見したセキュリティ研究者は、すべての人の利益のためにそれを行いますが、弱点を指摘することで、機能から人々をうっかり阻止しています。これが唯一の問題ではないことを言わなければなりません。
レガシー認証プロトコルと貧弱なパスワード管理もハッカーを助けます
ビジネスアカウントについて話していることを忘れてはなりません。ビジネスアカウントはすぐに事態をさらに複雑にします。マイクロソフトが指摘したように、多くの場合、MFAはユーザーにとっても選択肢ではありません。
世界で最も人気のあるOSベンダーによると、アカウント乗っ取り攻撃の大半は、Microsoftが「レガシー認証」と呼んでいるものを使用する組織を対象としています。これらの組織は、2FAをまったく許可しない古いプロトコルを中心にITインフラストラクチャ全体を構築しています。明らかに、攻撃者はこれらのプロトコルがどれほど弱いかを知っており、この事実を利用することをshしません。残念ながら、より現代的で安全な認証システムへの切り替えには、多くの作業とダウンタイムが必要になることが多く、企業にはそれだけの余裕がありません。ただし、これはアカウントのセキュリティが低いことの言い訳にはなりません。
Alex Weinertのプレゼンテーションで、ハッカーはパスワードスプレーを使用して、1月に侵害されたアカウントの約40%をハッキングすると述べました。 パスワードスプレー攻撃では、サイバー犯罪者は一般的に使用されるパスワードの比較的短いリストを使用し、より広い範囲のユーザー名に対してそれらを試行します。多くの人が一般的で推測しやすいパスワードを使用する傾向があるため、攻撃はしばしば成功します。
年の最初の月に侵入された120万のアカウントの別の40%は、リプレイ攻撃の侵害の犠牲になりました。侵害のリプレイは、明らかにマイクロソフトの資格情報の詰め込みの用語です。ハッカーが1つのオンラインサービスから盗んだユーザー名とパスワードを使用して、他の複数のWebサイトでアカウントを開く攻撃です。繰り返しますが、アカウントのセキュリティに対する人々の怠慢な態度とパスワードを再利用する傾向により、攻撃は非常に成功します。
理論的には、企業環境でのアカウント乗っ取り攻撃の防止は比較的単純な仕事ですが、問題の事実は、いくつかの要因が関係しているということです。脆弱性の発見は、2FAの効率性に疑問を投げかけ、2FAの機能がすべての企業システムで利用可能ではないという事実と相まって、採用率が低くなります。
状況を本当に改善するには、適切なパスワード管理がいかに重要であるかを理解する必要があります。企業とサービスプロバイダーは、2FAが提供する追加のセキュリティが常に利用可能であることを保証するために、できる限りのことを行う必要があります。侵害されたアカウントと安全なアカウント。