多要素認証(MFA)は、パスワードのみのセキュリティより安全な代替策として広く受け入れられている。
問題は、攻撃者がこの普及と採用に適応してしまったことだ。その結果、MFAは完全な抑止力というよりは、固有の脆弱性を抱えた「減速帯」のように機能するようになってしまった。これにより、MFAは実質的に単一要素認証に近いものとなり、依然として単一の障害点に依存している。
それはユーザーだ。
サイバー犯罪者はMFAを回避する方法を学んだ
ユーザーを説得して、必要な情報をすべて差し出させられるなら、パスワード解析に時間を費やす必要はない。必要なのは、たった1人のユーザーが誤ってリンクをクリックし、企業に紐づくクラウドやSaaS(Software as a Service)リソース上の偽ログインページに誘導されることだけだ。そのページは本物と見分けがつかないほど、そっくりに作られている。
ユーザーが模倣サイトにパスワードを入力する意思があるなら、そのフィッシングページがワンタイムコード(OTC)を求めた際にも入力すると考えて間違いない。結局のところ、彼らはすでに正規のログインページに見えるものへユーザー名とパスワードを入力する意思を示しているのだ。
これで攻撃者は必要なものをすべて手に入れる。
トークンという戦利品
ここで多くの組織はリスクを過小評価している。攻撃者は、それらの認証情報とOTCをリアルタイムで正規サービスに転送し、セッションの「中間」に入り込むことができる。認証が成功すれば、攻撃者はそのユーザーとしてアクセスできるようになり、さらに重要なのはセッショントークンを得る点だ。
そのトークンは、長期間有効なまま残り得る。
多くの場合、適切に設定されていれば非アクティブ時に失効する。しかし一部の環境ではデフォルト設定がそのまま放置され、想定よりはるかに長く有効な状態が続く。そのため、1回のフィッシング成功で、攻撃者は環境内を静かに探索し、本来アクセスすべきでないリソースに到達し、手遅れになるまで検知しづらい行動を取るのに十分な時間を確保できてしまう。
トークンは数分間有効な場合もあれば、無期限の場合すらある。
トークンの有効期間は設定次第だ。非アクティブ時にタイムアウトするよう設定されていれば、攻撃者がアクセスできる時間は短いかもしれないが、わずか数分でも被害は発生し得る。
より危険なケースでは、トークンが数日から数週間持続するよう設定されており、攻撃者は環境内を静かに探索し、本来アクセスすべきでないリソースへ到達し、手遅れになるまで検知しづらい行動を取れるほど長く内部に留まれる。
攻撃者はこの時間的猶予を利用して、メールを漁り、クラウドストレージにアクセスし、社内文書を精査し、価値の高いデータを特定する可能性が高い。
そこから機微情報をダウンロードし、重要ファイルを改ざんし、メールボックスのルールや新たなアクセス手段によって永続化を図り、さらには接続されたシステムへ水平展開することもできる。侵入が短時間であっても、深刻な業務妨害、財務的損失、または長期的な評判の毀損を引き起こすには十分な時間であることが多い。
デバイスレベルの信頼とゼロトラストのアクセス制御
問題は、ほとんどのMFAが依然として単一の判断点に依存していることだ。つまり「ユーザーは、ページが求めるものを入力するのか」という一点である。
それでは、もはや十分に強固なセキュリティ境界とは言えない。
真にリスクを減らすには、フィッシングされにくい層を追加する発想へ、組織は転換しなければならない。有効な認証情報とコードを信用するのではなく、リソースへのサインインを試みるあらゆるアクセスが、組織が明示的に承認したデバイスと経路からのものであることを要件として課すべきだ。
それは、ユーザーの本人性だけでなく、実際のデバイスの信頼性を検証することを意味する。ノートPCであれ、携帯電話であれ、その他のデバイスであれ同様だ。これが、ThreatLockerがネットワークおよびクラウドサービス向けにゼロトラストのアクセスブローカレッジを提供している理由である。
アクセスが信頼済みデバイスと、SaaSプラットフォームへの制御されたルートに紐づけられれば、盗まれた認証情報や傍受されたコードの価値は大きく下がる。これは、ゼロトラストの「デフォルト拒否(deny-by-default)」制御の背後にある同じ思想である。すべてを遮断し、必要で信頼できるものだけを許可する。
