パスワードを忘れた? アカウント作成
15807466 story
セキュリティ

Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった 35

ストーリー by headless
認証 部門より
あるAnonymous Coward 曰く、

先日発生した UberRockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている (ITmedia NEWSの記事Yahoo! ニュースの記事)。

Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。

ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

  • by Anonymous Coward on 2022年10月01日 17時02分 (#4336771)

    攻撃者はユーザー名とパスワードと、そのユーザーに対する直接の連絡手段(電話番号など)を入手する。
    攻撃者はユーザー名とパスワーを使って何度もログイン試行する。
    するとシステムが何度もユーザーに対して「このログインを承認しますか」というような問い合わせをユーザーにする。
    ユーザーはそのログインに心当たりがないから普通は承認しないんだけど、脊髄反射で承認ボタン押す人や操作ミスなどで承認してしまうこともある。(攻撃成功。この場合は連絡手段の入手不要)
    今回は、攻撃者がユーザーに対して電話して管理者を装って「承認操作してください」って頼むことで攻撃成功させた。

    #コロナ感染のせいでブレインフォグとかで脳の理解力が落ちたのかな。最近記事読んでもすんなり理解できないことが多い(でもその現象が発生するのスラドの記事だけ)

    ここに返信
    • by Anonymous Coward on 2022年10月01日 18時32分 (#4336824)

      パスワードだけでなく、この手のワンタイムパスワードとかスマホの通知をクリックせよとかも
      連続して送ったら一時的に送れなくする機能が必要なのかも

    • by Anonymous Coward on 2022年10月01日 21時33分 (#4336921)

      プッシュ通知で承認しますか?Y/Nってのがまずいんでしょ。
      普通は通知で送った番号を入力させるんじゃない?

      • Re:こういうことかな (スコア:3, すばらしい洞察)

        by Anonymous Coward on 2022年10月01日 22時52分 (#4336967)

        まぁ、普通に考えて「承認」「拒否」って選択肢はおかしいんだよね。
        「サインイン」「操作ミス」「通報」という3つが良いと思う。
        自分でサインイン操作して拒否するフローはいらないよね。
        拒否する様な場面は、自分の操作ミスか、他人がなりすまそうとしてる以外に無いのだから、そこは切り分け無いとダメでしょ。

        コンシューマ向けで人数が多ければ、確かにサポートコスト低減の為に、ある程度スルーは有りとしても、従業員向けなら、攻撃されたら即座に対応しないと、何のために多要素認証で時間稼ぎしてるのか分からないですよね。
        多要素認証を攻撃への防御と勘違いしてる人が居るんでしょうね。ただ複雑性を上げる為だけの牽制手法なのに。

        • by Anonymous Coward on 2022年10月02日 11時14分 (#4337075)

          通報は確かに欲しい。
          dアカウントの入力間違いと思しき承認要求がしばしば来るんだけど、普通の人は2、3回拒否でアカウントを間違えたことに気づくようなのですが、たまに30分くらい延々とチャレンジを続ける人がいてウザいんだよね。
          管理者に通報か、同一IPからのログインを一定時間拒否するような機能が欲しいところ。

        • by Anonymous Coward

          「拒否」が実際「通報」として取り扱うアクションでは。

          「操作ミス」ってなんだろう。

          • by Anonymous Coward

            ログイン必要無いのに、ブラウザの自動入力で開いたりとか、通知が遅れてて二回ログイン操作してしまった時とか、自分で認識している範囲での、不要な認証要求は結構あるでしょう。
            それをいちいち通報するのは、心理的に障壁が高いし、不要なのに許可するのもリスクが高い。
            システム管理側は、そこを切り分けるのが難しい(確認とかコストが掛かる)ので、処理能力によってはスルーすることになる。

            • by Anonymous Coward

              それは承認でいいだろう?

      • by Anonymous Coward

        普通という意味ならスマホの指認証でY/Nの応答をさせるね
        こうすれば多要素の内の「所有要素」と「生体要素」を満たせる
        番号入力は「所有要素」だけなので本来はセキュリティの下がる代替手段でしかない
        今回のは通知された以上は指認証であって、横着のし易さが裏目に出たのかもね

        ただ、攻撃者からしたらそもそも「疲れ」させて判断能力を失わせ、「システム管理者を装った指示」に従うという判断をさせた時点で勝ちなので、指か番号かというのは枝葉の話だったりする

  • by Anonymous Coward on 2022年10月01日 16時59分 (#4336770)

    従業員が寝ようとしている午前 1 時に 100 回電話をかければ

    しれっとブラック職場が常識的に挙げられている時点で救いようがないよね

    # ブラック企業「うちは善良な企業だ。就寝するまでは業務時間。叩き起こしたりはしない。」

    ここに返信
    • by Anonymous Coward on 2022年10月01日 17時50分 (#4336798)

      今どきは在宅等でリモートログインする時には、PCとは別のスマホなりでトークン認証もするんだぞ
      そのトークンは電話での音声案内、アプリが表示するキーや承認ボタンだったりするってだけ
      なので真夜中に通知・電話されるかは、ブラックかどうかとは全く関係ない

      なんかでアカウント作るときに、スマホにショートメッセージ送らせて二要素認証としてキー入力するとかしたことない?
      ようはそれと仕組みは同じ

      # うちの会社もoktaだから私のメアドなり知ってるだけで深夜に通知攻撃(嫌がらせ)なら余裕でできるな

      • by Anonymous Coward

        社用携帯なんてマナーモードにして放置だろ。
        午前1時に100回掛かってこようが、出勤して初めて気づくわ。

        • by Anonymous Coward

          その、出勤して気付きそうな定時のタイミングで、全部を確認する間を与えず、上司を装った電話を入れる手口に変わるだけかもね。

          • by Anonymous Coward

            それだったら、始業時狙って、正規のログイン操作時を狙ったら、電話も必要無く通るよね。
            まぁ実際は気付かれにくさを重視してるだろうから、深夜なんだろうけど。

    • by Anonymous Coward

      逮捕されたのはイギリスの少年だから別の時間帯かもしれんし

    • by Anonymous Coward

      ナイトモード有効にしとけば夜は自動で何もかもガン無視してくれる

  • by Anonymous Coward on 2022年10月01日 19時04分 (#4336842)

    > 最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

    以前からソーシャル・エンジニアリングは非常に有効な手口だと言われていますね。

    ここに返信
    • by Anonymous Coward

      そりゃどれだけ堅固で厳重なセキュリティを構築したって、権限持ってる人間が許可してしまえばお終いだしね

    • by Anonymous Coward

      これは簡単な話で、ユーザーIDとパスワードが合っててMFAに進んだけどMFAを突破できなかったことが一定の基準で続いたら
      アカウントをロックアウトすりゃよい、それだけの話
      過去1時間に3回失敗してて4回目失敗したら、アカウント3時間ロックアウト

      これでいい。MFAが失敗なんてレアと考えれば、24時間ロックアウトでもよい。

      • by Anonymous Coward on 2022年10月01日 23時26分 (#4336975)

        簡単だと軽率に思って失敗n回でロックというよくある対策をしたものの、攻撃を理解してないから意味をなさないという例だな

        そもそもこの攻撃では一度も認証に失敗してないんだぞ
        攻撃者は通知を送りまくって認証出来るやつに認証するというアクションを取らせる攻撃
        認証出来るやつがする以上、認証は普通に成功する、実際にした

        単なる認証失敗回数による対策ではダメで、タイムアウトの取り扱いや、連続での通知要求に閾値を設けることなどを考えないとこの攻撃は防げないのよ

        • by Anonymous Coward

          いや認証失敗してるけど

          100回連続でMFAさせて(権利者は許可しないからいずれも失敗になる)認証疲れになったところで
          電話をかけ、「システム不具合で連続で飛んじゃってる、直すのでいったん承認してくれ」と言ってだまして
          MFAを突破してるんやで

          • by Anonymous Coward

            > 権利者は許可しないからいずれも失敗になる

            許可しない=失敗になる、だと軽率に思って失敗n回でロックというよくある対策をしたものの、システムを理解してないから意味をなさないという例だな
            そんなもん実装によるに決まってるだろ

            例えば、LinuxのPAM(tally2.so)ならsudoなりした時点で未入力キャンセルでも失敗になるが、
            Windowsのrunasでは未入力キャンセルでは失敗にならんのだ

    • by Anonymous Coward

      分かりやすいソーシャルハックだね。この従業員には疲れもあるだろうが、システムの異常に見える点が大きいと思う。
      パスワードを盗まれている認識が無ければ、問題を把握しているIT担当者(偽)に対応を頼まれたら承認するぐらいどうってことない。

      手法が知れてしまえば何度も効く技じゃないけど、前例のない手法を全一般従業員に防御させるのはかなり難しい気がする。
      やっぱりID/パスワードを盗られてる時点で負けかねえ。

  • by Anonymous Coward on 2022年10月01日 19時24分 (#4336857)

    リモートからの接続をすべて禁止しておけば良い

    ここに返信
    • by Anonymous Coward on 2022年10月02日 0時31分 (#4336998)

      外務省「議員バッチつけてるだけで誰でも入れます」

    • by Anonymous Coward

      リモートからの接続をすべて禁止しておけば良い

      その通り
      みんなJtag接続でやるべきです(マテ

    • by Anonymous Coward

      そうそう。会社を組織して仕事なんかするから攻撃にあう。会社を解散して仕事しなければいいだけ。

      こういう極論バカが言ってるのはそういうこと。利益を得る気が無い。そこがバカなんだね。

      • by Anonymous Coward

        それでお前みたいな馬鹿なゴミが自分は大丈夫だと過信して会社に損害与えるんだよな

        • by Anonymous Coward

          #4336857って本気で言ってたんだな。

    • by Anonymous Coward

      つねに会議や監視してるわけじゃないし、9割の仕事は1日中接続しとく必要なくね。
      必要ないときはネット切ればいいのに。切った方がサボりも減るだろう(手元のスマホで遊び出すかもしれないが)

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...