公開日: |更新日:
医療情報システムでは、多要素認証(二要素認証)の導入が推奨されています。その理由や具体的な事例について紹介します。
多要素認証疲労攻撃は、「MFA Fatigue」「MFA 疲労攻撃」とも呼ばれる攻撃手法の一つです。
第三者による不正アクセスを防止するため、多要素認証(MFA:Multi-Factor Authentication)の導入が進んでいます。攻撃者はこの多要素認証を突破する方法として疲労攻撃を仕掛けており、一定の被害が出ていることから注意喚起されています。
攻撃目的の一つは、サービスへの不正アクセスです。標的の個人情報や資産など、重要な情報を窃取する目的で不正アクセスが行われています。
もう一つの目的は、デバイスの乗っ取りです。パソコンやタブレット、スマートフォンなどへのアクセス・ログイン権限を奪い取ることで、標的になりすまし、さらなる被害を引き起こすことを目的としています。
多要素認証への攻撃では、IDとパスワードによる認証とプッシュ通知を組み合わせるサービスが狙われる傾向にあります。前提として、IDとパスワードが攻撃者の手に渡っており、2段階認証であるプッシュ通知を突破する手段として、プッシュ通知を繰り返し送信する方法が用いられます。
攻撃を受けた標的は一度拒否しても、承認されるまでログインが繰り返されます。同時に、SMSなどを使いシステムの管理者を偽装して、承認するように標的へと促します。
標的がシステム管理者からの通知と誤認し、承認してしまうことで、2段階認証が突破されるという仕組みです。
多要素認証疲労攻撃への対策は、以下のとおりです。
パスワードの再設定に加えて、他のサイトで同じパスワードを使用していないかも確認しましょう。多要素認証疲労攻撃は、IDとパスワードを不正に取得したうえで2段階認証に対して行われるため、これらの情報を強固に保つことで、攻撃のリスクを大幅に低減できます。
プッシュ通知からワンタイムパスワードや生体認証へ変更することで、プッシュ通知による攻撃を回避できます。特に生体認証は個人の指紋などがログイン手段となるため、標的になるリスクを抑える効果が期待できるでしょう。
ログイン試行の繰り返しによる攻撃には、試行回数の制限が有効です。こうした制限を設定できるサービスでは、誤って承認してしまうリスクを減らすためにも、試行回数は少なめに設定することが推奨されます。
プッシュ通知を誤認しないために、通知そのものを無効にする方法もあります。ただし、攻撃以外の通知も無効になってしまうため、重要な情報を見落とさないように注意しましょう。
対策の一つとして、スパムメールやスパムSMSを従業員が認識できるように周知しましょう。「自分からログインしないかぎりリクエストを承認しない」「セッションを事前に確認する」「IDとパスワードを使い回さない」など、攻撃の手法とともにチェック方法もあわせて共有しておくことが有効です。
セッション履歴は、ユーザーによるログイン試行と使用されたデバイスの記録です。不正アクセスが行われたときはセッション履歴に不審な動作が記録されることがあるため、対策を検討する際の参考情報となります。
サイバー攻撃は、デバイスの種類を問わず多様化しています。重要な個人情報を扱うシステムやサービスは特に狙われやすいため、認証方法や攻撃手法を含め、今一度確認と周知を徹底することが重要です。
以下のページでは、多要素認証(二段階認証・二要素認証)とはどのような方法なのか、選び方とともに紹介しています。あわせて参考にしてください。
各製品の特徴やおすすめポイント、実際の導入事例もまとめているので、ぜひご覧ください。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
