フィッシング耐性の高いMFA実装の解説

フィッシング耐性の高い MFA実装の解説 2022-12-02 はせがわようすけ

CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開  フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威 を理解してもらうためのガイダンス。それぞれの実装方式にどのよ うな脅威があるかを解説  MFAアプリケーションでの番号照合の実装 フィッシング耐性の高いMFA実装を導入できない場合の次善策と なる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guidancephishing-resistant-and-numbers-matching これらをベースにMFAを改めて解説

• https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guidance-

多要素認証(MFA)おさらい 認証に使われている要素 知識情報 本人しか知らない情報 パスワード、暗証番号な ど 所有情報 本人しか持っていないも のに紐づいた情報 ワンタイムパスワード生成 器、端末のクライアント証 明書ファイルなど 生体情報 本人にしか備わってい ない生物学的な情報 指紋、虹彩など これらを２つ以上組み合わせたものを多要素認証(2要素認 証)という  「パスワード」 + 「ワンタイムパスワードをメールで送信」はメールへ のアクセスが知識情報に依っており要素がひとつなので多要素認証 とは呼べない

MFAに対する脅威 • • • • フィッシング プッシュ爆弾 SS7プロトコル脆弱性の悪用 SIMスワップ

MFAに対する脅威① フィッシング フィッシングサイト経由で追加の認証コードも利用者自身に入力させ、攻撃者はセッションCookieを 入手する 利用者 攻撃者 1 Webアプリ 2 3 4 ID ID パスワード パスワード ログイン user@example.jp / **** 5 8 ログイン user@example.jp / **** 6 7 認証コード 認証アプリ 123456 フィッシング サイト 9 12 123456 ログイン成功 認証コード 10 123456 11 ログイン成功 Cookie=xxxx

MFAに対する脅威② プッシュ爆弾（MFA疲労攻撃） 利用者が根負けするかうっかりミスをしてログインを承認するまで繰り返しログイン承認のプッシュ通 知を送り続ける 攻撃者 利用者 Webアプリ 1 2 ID パスワード ログインを 承認 しますか？ はい いいえ ログイン はい いいえ user@example.jp / **** 3 ログインを 承認 しますか？ 4 ログインを 承認 しますか？ 利用者がログインを承認 するまで繰り返す はい いいえ 5 6 ログイン成功 Cookie=xxxx

MFAに対する脅威③ SS7プロトコル脆弱性の悪用、SIMスワップ SS7プロトコル脆弱性の悪用 サイバー攻撃者は、通信インフラで使われるSS7プロトコ ルの脆弱性を悪用して、テキスト メッセージ (SMS) や 音声で電話に送信されるMFAコードを取得する※1  海外で実際に事例あり※2 SIMスワップ 攻撃者がソーシャルエンジニアリング等により携帯電話会 社を騙すことで、ユーザーの電話番号を攻撃者のSIM カードに移管させ、電話番号を奪取する  国内でも事例あり※3

MFAの各実装方法 推奨される順に紹介

MFAの実装方法① フィッシング耐性のあるMFA実装 これらのMFA実装はフィッシングへの耐性がある。CISAでは、システム管理者や高価値のシステムに 対してフィッシング耐性のあるMFAへの移行を実装すること、または計画することを強く推奨する。 SMSや音声通話でないためSS7プロトコルの脆弱性やSIMスワップの影響も受けない FIDO/WebAuthn認証 PKIベース 人間とハードウェアの認証器の間で認証を行い、認証 器と認証サーバー間は公開鍵暗号方式で通信する。 ネットワーク上にクレデンシャル情報が流れない。 デバイスの生体認証器をWebアプリ(JavaScript) から利用できる。 認証器内でサイトごとに秘密鍵/公開鍵が生成される ため、他サイトの認証情報等の流用はできない。 複数デバイス前提ではUXの低下がある※4 クライアント証明書による認証等。クライアント側にイ ンストールされた証明書を用いてアクセス元を認証 する。 証明書を持っていないクライアントからはアクセスで きない。 （上記は雑な説明なので正確ではないです）

MFAの実装方法② アプリケーションベースの認証 これらのMFA実装はフィッシングへの耐性はないが、フィッシング耐性の高いMFAをすぐに導入でき ない中小企業にとってはこれらの認証が次善策として最適な選択肢となる。プッシュ爆弾にも強く、 SMSや音声通話でないためSS7プロトコルの脆弱性やSIMスワップの影響を受けない ワンタイムパスワード モバイル端末への 番号照合型のプッシュ通知 ハードウェアトークン型のOTP スマートフォンにインストールされ たOTP生成アプリに表示される コードをWebアプリに入力する スマートフォンにプッシュ通知で追 加のコードが送信されるので、そ れをWebアプリに入力する ハードウェアトークンに表示される ワンタイムパスワードをWebアプ リに入力する example.jp 12:34 ♪ 認証コード 123456

MFAの実装方法③ 番号照合型でないプッシュ通知、SMSまたは音声 番号照合型ではない モバイル端末へのプッシュ通知 ログインを承認するためのプロンプトが表示される。 ユーザーはボタンをタップするだけの操作であるため、 プッシュ爆弾や操作ミスに対して脆弱。 番号照合型への切り替えが推奨される※5 ログインを 承認 しますか？ はい いいえ SMSまたは音声 SMSまたは音声で届けられるコードをWebアプリ に入力する。 他に手段がない場合のMFAオプションとしてのみに 留める。あるいは、より強力なMFAの実装に移行す るまでの一時的な解決策として利用する。 フィッシング、SS7への攻撃、SIMスワップに対して 脆弱 認証コードは 123456 です

フィッシング耐性の高いMFA実装の導入

フィッシング耐性の高いMFAの実装方式 FIDO/WebAuthn認証  フィッシング耐性があり広く利用可能な唯一の認証方法  主要なブラウザー、OS、スマートフォンでサポートされる  WebAuthn認証機には以下のようなものがある  USBまたはNFCでデバイスに接続された物理トークン(ローミングオーセン ティケータ)  デバイスに組み込まれたプラットフォームオーセンティケータ  所持情報、生体情報やPINなどさまざまな種類の要素が提供可能 PKIベースのMFA  フィッシング耐性があるMFAではあるが、広くは利用されていない  政府機関がユーザーを認証するためのスマートカードなどがある  ID管理のためには高度に成熟した経験が必要  多数の証明書の期限の管理、認証局の管理など

フィッシング耐性の高いMFAの導入の推奨 CISAは全ての組織がフィッシング耐性の高いMFAを導 入することを推奨している  すぐに導入できない場合は一時的な緩和策として番号照合型 のMFAを導入する  MFAが導入されていないシステムを特定しMFAをサポートす るようアップグレードする、あるいはMFAをサポートできるよ うシステム移行計画を立てる  MFAをサポートしていないシステムのリスクを組織上部にエス カレーションする

フィッシング耐性のあるMFAの導入 以下の観点から優先順位をつけ導入を進める  侵害から保護したいリソースは?  メールシステム、ファイルサーバー、リモートアクセスシステム、ADサー バーなどが狙われやすい  価値の高いターゲットとなるのはどのユーザーか?  少数でも特権を持っているユーザーは攻撃者にとって価値が高い  システム管理者だけでなく、弁護士や人事スタッフなども考えられる

番号照合型のMFAを扱うためのベストプラクティス フィッシング耐性はないが次善の策としての番号照合型MFAを導入 する際は下記を行う  ユーザーに対しての報告のトレーニングを実施  不明なログイン要求や大量のログイン要求について報告するようにユー ザーをトレーニングする。以下のような内容のトレーニングを定期的に提 供する  MFA疲労攻撃 / MFAスパムを認識する方法 / 不明な確認リクエストの報告方法  拒否されたプッシュ通知の調査  拒否されたログイン要求の発生の調査を推奨  ユーザーがMFA要求を拒否した場合、根本原因を調査するためセキュリ ティ部門に報告する必要がある。MFA認証は、最初の要素での認証後に 行われるため、MFA要求が発生した場合には、ユーザーのパスワードが すでに侵害されている可能性がある

まとめ CISAではフィッシング耐性のあるFIDO/WebAuthn によるMFAを推奨している  日本国内ではまだ「MFAを導入しましょう」止まり  NIST SP800-63 rev.4への改定※6でも言及あり  フィッシング耐性のあるMFAの導入が難しい場合は次善の策 として番号照合型のプッシュ通知等を推奨 番号照合型MFAでは下記に取り組む  プッシュ爆弾の懸念や不審なプッシュ通知の報告方法などを ユーザーに教育する  拒否されたログイン要求のプッシュ通知について発生原因を調 査する

参考URL ※1 ITU-T Workshop報告 －SS7セキュリティ＆ICT模倣品対策－https://www.ituaj.jp/wpcontent/uploads/2016/11/2016_12-02-Spot-mohouhintaisaku.pdf ※2 通信プロトコルSS7のハッキングで2段階認証コードが盗まれる | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/ss7-hacked/22358/ ※3 さっきまで使えてたスマホ、通話音が…しない 勝手に解約されたかも 被害男性の証言 | 総合 | 神戸新聞 NEXT https://www.kobe-np.co.jp/news/sougou/202210/0015728948.shtml ※4 ヤフーにおける WebAuthn と Passkey の UX の紹介と考察 #idcon #fidcon | ドクセル https://www.docswell.com/s/ydnjp/KWDLDZ-2022-10-14-141235 ※5 Microsoft Authenticator の MFA 疲労攻撃対策 | Japan Azure Identity Support Blog https://jpazureid.github.io/blog/azure-active-directory/defend-your-users-from-mfafatigue-attacks/ ※6 NIST Update: Multi-Factor Authentication and SP 800-63 Digital Identity Guidelines https://csrc.nist.gov/csrc/media/Presentations/2022/multi-factor-authentication-andsp-800-63-digital/imagesmedia/Federal_Cybersecurity_and_Privacy_Forum_15Feb2022_NIST_Update_MultiFactor_Authentication_and_SP800-63_Digital_Identity_%20Guidelines.pdf

• https://www.ituaj.jp/wp-
• https://blog.kaspersky.co.jp/ss7-hacked/22358/
• https://www.kobe-np.co.jp/news/sougou/202210/0015728948.shtml
• https://www.docswell.com/s/ydnjp/KWDLDZ-2022-10-14-141235
• https://jpazureid.github.io/blog/azure-active-directory/defend-your-users-from-mfa-
• https://csrc.nist.gov/csrc/media/Presentations/2022/multi-factor-authentication-and-