Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった 35
ストーリー by headless
認証 部門より
認証 部門より
あるAnonymous Coward 曰く、
先日発生した Uber や Rockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている (ITmedia NEWSの記事、 Yahoo! ニュースの記事)。
Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。
ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。
こういうことかな (スコア:2, 参考になる)
攻撃者はユーザー名とパスワードと、そのユーザーに対する直接の連絡手段(電話番号など)を入手する。
攻撃者はユーザー名とパスワーを使って何度もログイン試行する。
するとシステムが何度もユーザーに対して「このログインを承認しますか」というような問い合わせをユーザーにする。
ユーザーはそのログインに心当たりがないから普通は承認しないんだけど、脊髄反射で承認ボタン押す人や操作ミスなどで承認してしまうこともある。(攻撃成功。この場合は連絡手段の入手不要)
今回は、攻撃者がユーザーに対して電話して管理者を装って「承認操作してください」って頼むことで攻撃成功させた。
#コロナ感染のせいでブレインフォグとかで脳の理解力が落ちたのかな。最近記事読んでもすんなり理解できないことが多い(でもその現象が発生するのスラドの記事だけ)
Re:こういうことかな (スコア:1)
パスワードだけでなく、この手のワンタイムパスワードとかスマホの通知をクリックせよとかも
連続して送ったら一時的に送れなくする機能が必要なのかも
Re:こういうことかな (スコア:1)
プッシュ通知で承認しますか?Y/Nってのがまずいんでしょ。
普通は通知で送った番号を入力させるんじゃない?
Re:こういうことかな (スコア:3, すばらしい洞察)
まぁ、普通に考えて「承認」「拒否」って選択肢はおかしいんだよね。
「サインイン」「操作ミス」「通報」という3つが良いと思う。
自分でサインイン操作して拒否するフローはいらないよね。
拒否する様な場面は、自分の操作ミスか、他人がなりすまそうとしてる以外に無いのだから、そこは切り分け無いとダメでしょ。
コンシューマ向けで人数が多ければ、確かにサポートコスト低減の為に、ある程度スルーは有りとしても、従業員向けなら、攻撃されたら即座に対応しないと、何のために多要素認証で時間稼ぎしてるのか分からないですよね。
多要素認証を攻撃への防御と勘違いしてる人が居るんでしょうね。ただ複雑性を上げる為だけの牽制手法なのに。
Re:こういうことかな (スコア:1)
通報は確かに欲しい。
dアカウントの入力間違いと思しき承認要求がしばしば来るんだけど、普通の人は2、3回拒否でアカウントを間違えたことに気づくようなのですが、たまに30分くらい延々とチャレンジを続ける人がいてウザいんだよね。
管理者に通報か、同一IPからのログインを一定時間拒否するような機能が欲しいところ。
Re: (スコア:0)
「拒否」が実際「通報」として取り扱うアクションでは。
「操作ミス」ってなんだろう。
Re: (スコア:0)
ログイン必要無いのに、ブラウザの自動入力で開いたりとか、通知が遅れてて二回ログイン操作してしまった時とか、自分で認識している範囲での、不要な認証要求は結構あるでしょう。
それをいちいち通報するのは、心理的に障壁が高いし、不要なのに許可するのもリスクが高い。
システム管理側は、そこを切り分けるのが難しい(確認とかコストが掛かる)ので、処理能力によってはスルーすることになる。
Re: (スコア:0)
それは承認でいいだろう?
Re: (スコア:0)
普通という意味ならスマホの指認証でY/Nの応答をさせるね
こうすれば多要素の内の「所有要素」と「生体要素」を満たせる
番号入力は「所有要素」だけなので本来はセキュリティの下がる代替手段でしかない
今回のは通知された以上は指認証であって、横着のし易さが裏目に出たのかもね
ただ、攻撃者からしたらそもそも「疲れ」させて判断能力を失わせ、「システム管理者を装った指示」に従うという判断をさせた時点で勝ちなので、指か番号かというのは枝葉の話だったりする
例が最悪 (スコア:0)
従業員が寝ようとしている午前 1 時に 100 回電話をかければ
しれっとブラック職場が常識的に挙げられている時点で救いようがないよね
# ブラック企業「うちは善良な企業だ。就寝するまでは業務時間。叩き起こしたりはしない。」
Re:例が最悪 (スコア:1)
今どきは在宅等でリモートログインする時には、PCとは別のスマホなりでトークン認証もするんだぞ
そのトークンは電話での音声案内、アプリが表示するキーや承認ボタンだったりするってだけ
なので真夜中に通知・電話されるかは、ブラックかどうかとは全く関係ない
なんかでアカウント作るときに、スマホにショートメッセージ送らせて二要素認証としてキー入力するとかしたことない?
ようはそれと仕組みは同じ
# うちの会社もoktaだから私のメアドなり知ってるだけで深夜に通知攻撃(嫌がらせ)なら余裕でできるな
Re: (スコア:0)
社用携帯なんてマナーモードにして放置だろ。
午前1時に100回掛かってこようが、出勤して初めて気づくわ。
Re: (スコア:0)
その、出勤して気付きそうな定時のタイミングで、全部を確認する間を与えず、上司を装った電話を入れる手口に変わるだけかもね。
Re: (スコア:0)
それだったら、始業時狙って、正規のログイン操作時を狙ったら、電話も必要無く通るよね。
まぁ実際は気付かれにくさを重視してるだろうから、深夜なんだろうけど。
Re:例が最悪 (スコア:1)
> ・業務スマホを支給しないブラック
業務スマホを支給してても起こる攻撃なのに何を言っているのやら……
> ・業務スマホを24hでマナーモード禁止且つ即応義務を課すブラック
どこにも書かれてない義務を課してる前提で反論されましても……
> 正当な権利ですよ
君の言う通り権利であって義務じゃないって分かるかな?
単なる権利に過ぎないならマナーモードや電源オフにしないやつもいるんだから、そいつにならスマホの機能として電話・通知が繋がるのは当然のことだ
マナーモードにする義務なんか会社側が従業員に課すと思う?
業務外対応しないのもそいつの権利な以上は、対応するやつもいる
対応してはいけない義務なんか会社側が従業員に課すと思う?
君は権利と義務をごっちゃにして、権利として対応しなくていい=義務として対応してはいけない、と結ばれちゃってるんだろうね
Re: (スコア:0)
つまり、従業員が自発的にやったサビ残は合法ってこと?
Re: (スコア:0)
> つまり、従業員が自発的にやったサビ残は合法ってこと?
「つまり」だと思うならもはや2つの理由から論理的な思考能力がないと思って良さそうかな?
君がこれまでに言っていることは下記であって、いずれも論理的な飛躍でしかない
・夜中に電話対応した→会社はそうした義務を課しているブラック企業だ
・義務と権利は違う→義務がない対応は自発的なサービス残業で合法ってことだ
君の言葉を借りるなら「あほか」だね
前者は前に書いたとおりで、後者は対応したなら賃金を出す企業だってあるのでどうやっても「つまり」で結び付けられない
例えば、私の会社も連絡が繫がったら休出・深夜対応として賃金が出るし、付かなかったとしても何ら罰せられない
むしろ暇だったらボーナスタイムへの参加が出来る権利でしかないかな
「# 違法がまかり通るのが世の常なんだけどね」などと書いてるかなら君がそういう会社に努めてて、それが「世の常」だと思い込んじゃってるのかな?
Re: (スコア:0)
もうなんか目が曇りすぎてるわ
いったい誰がそんなもん肯定してるんだ
どこを読んでどう思ったんだ いっそ怖い
Re: (スコア:0)
逮捕されたのはイギリスの少年だから別の時間帯かもしれんし
Re: (スコア:0)
ナイトモード有効にしとけば夜は自動で何もかもガン無視してくれる
ソーシャル・エンジニアリング (スコア:0)
> 最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。
以前からソーシャル・エンジニアリングは非常に有効な手口だと言われていますね。
Re: (スコア:0)
そりゃどれだけ堅固で厳重なセキュリティを構築したって、権限持ってる人間が許可してしまえばお終いだしね
Re: (スコア:0)
これは簡単な話で、ユーザーIDとパスワードが合っててMFAに進んだけどMFAを突破できなかったことが一定の基準で続いたら
アカウントをロックアウトすりゃよい、それだけの話
過去1時間に3回失敗してて4回目失敗したら、アカウント3時間ロックアウト
これでいい。MFAが失敗なんてレアと考えれば、24時間ロックアウトでもよい。
Re:ソーシャル・エンジニアリング (スコア:3, すばらしい洞察)
簡単だと軽率に思って失敗n回でロックというよくある対策をしたものの、攻撃を理解してないから意味をなさないという例だな
そもそもこの攻撃では一度も認証に失敗してないんだぞ
攻撃者は通知を送りまくって認証出来るやつに認証するというアクションを取らせる攻撃
認証出来るやつがする以上、認証は普通に成功する、実際にした
単なる認証失敗回数による対策ではダメで、タイムアウトの取り扱いや、連続での通知要求に閾値を設けることなどを考えないとこの攻撃は防げないのよ
Re: (スコア:0)
いや認証失敗してるけど
100回連続でMFAさせて(権利者は許可しないからいずれも失敗になる)認証疲れになったところで
電話をかけ、「システム不具合で連続で飛んじゃってる、直すのでいったん承認してくれ」と言ってだまして
MFAを突破してるんやで
Re: (スコア:0)
> 権利者は許可しないからいずれも失敗になる
許可しない=失敗になる、だと軽率に思って失敗n回でロックというよくある対策をしたものの、システムを理解してないから意味をなさないという例だな
そんなもん実装によるに決まってるだろ
例えば、LinuxのPAM(tally2.so)ならsudoなりした時点で未入力キャンセルでも失敗になるが、
Windowsのrunasでは未入力キャンセルでは失敗にならんのだ
Re: (スコア:0)
分かりやすいソーシャルハックだね。この従業員には疲れもあるだろうが、システムの異常に見える点が大きいと思う。
パスワードを盗まれている認識が無ければ、問題を把握しているIT担当者(偽)に対応を頼まれたら承認するぐらいどうってことない。
手法が知れてしまえば何度も効く技じゃないけど、前例のない手法を全一般従業員に防御させるのはかなり難しい気がする。
やっぱりID/パスワードを盗られてる時点で負けかねえ。
対策は簡単 (スコア:0)
リモートからの接続をすべて禁止しておけば良い
Re:対策は簡単 (スコア:1)
外務省「議員バッチつけてるだけで誰でも入れます」
Re: (スコア:0)
リモートからの接続をすべて禁止しておけば良い
その通り
みんなJtag接続でやるべきです(マテ
Re: (スコア:0)
そうそう。会社を組織して仕事なんかするから攻撃にあう。会社を解散して仕事しなければいいだけ。
こういう極論バカが言ってるのはそういうこと。利益を得る気が無い。そこがバカなんだね。
Re: (スコア:0)
それでお前みたいな馬鹿なゴミが自分は大丈夫だと過信して会社に損害与えるんだよな
Re: (スコア:0)
#4336857って本気で言ってたんだな。
Re: (スコア:0)
つねに会議や監視してるわけじゃないし、9割の仕事は1日中接続しとく必要なくね。
必要ないときはネット切ればいいのに。切った方がサボりも減るだろう(手元のスマホで遊び出すかもしれないが)