headless 曰く、

多要素認証 (MFA) エンロールの仕組みを悪用し、MFA を有効にした組織のアカウントを攻撃者が入手する手法をセキュリティ企業 Mandiant が解説している (Mandiant のブログ記事、 Neowin の記事、 On MSFT の記事)。

MFA を破る手法の一つに、ユーザー名とパスワードを知る攻撃者が MFA のプッシュ通知を送り続けてユーザーが許可してしまうのを待つという方法が知られるが、Microsoft は一致する数字を入力させることによる対策をロールアウトする計画だ。一方、最近増加傾向のみられる MFA エンロールの仕組みを悪用する手法では、初回ログイン時の MFA エンロールを可能にした組織で作成されたまま使われていない休眠アカウントを狙う。こういったアカウントのユーザー名とパスワードを何らかの方法で入手してログインすれば MFA のエンロールも可能となるというわけだ。

記事ではロシアのハッキンググループ APT29 がパスワード推測攻撃で休眠アカウントにログインしてMFAにエンロールし、Azure AD 認証と MFA で守られた組織の VPN インフラストラクチャーへのアクセスを確保した例を紹介している。このような攻撃を回避するため、MFA デバイスの登録時に信頼されたネットワークの場所やデバイスからのアクセスを必須とする条件付きアクセスや、一時アクセスパスの利用が推奨されるとのことだ。