GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う

GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う：この頃、セキュリティ界隈で 人気ゲーム「グランド・セフト・オート」（GTA）などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue（多要素認証疲れ）」攻撃と呼ばれる手口を使ってMFA（多要素認証）を突破していた。 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログイン

[MIZ]

クラッキングって、技術力というよりは発想力だなとよく思う。

[lainof]

パスワード認証後に通知が来るタイプなら、意図しない通知が来た時点でパスワードを変更すべきでは？

[peller]

攻撃に気づいてパスワード変更しようにも、自分のログインによるMFA通知か攻撃者が送らせた通知か判別するのが難しそう。

[tomoP]

これ攻撃者の身元が辿りやすくて、実際あっさり逮捕されてるじゃん

[stealthinu]

大量に多要素認証を送らせるだけじゃなくてその後に社内IT担当者を装って認証承認させるように促してるのね。

[napsucks]

SMS認証や電話認証の欠点だね。TOTPならアカウントの持ち主には負担がかからない。6桁ぐらいしかないのでランダムに突破される危険性はあるけど。

[deep_one]

多要素認証の失敗部分には頻度の制限（一時間に何回までとか5分間に何回まで）とか設定されてないのか。たしかに、パスワードの試行回数と違って計算できるようなセキュリティー強度の低下はないが。

[sp_ice]

パスワード変更しようとしても、承認リクエスト多すぎてどれが自分の操作か分かんないよう🥺　となるのか…

[magi00]

大量の通知が来る状況だと区別がつかないから、２段階認証済みの端末が無いと通常のログインは難しいのでは？パスワードの変更ならできる？でも被害者はこの攻撃に合う時点でID・パスワードを盗まれている人だしな

[Kil]

パスワード変えれば良かっただけでは。通知の文章にも、身に覚えのない場合はパスワード漏洩の可能性あるよ、という内容を入れておくべきかもね。/なるほど、自分のパスワード変更のための通知も埋もれるのか。

[mabots]

GTA7 でこのエピソードが採用されるやつだ

[efcl]

UberのMFAでのログイン認証を送りまくってとったケース

[diet55]

ひえー。「故意にログイン試行を繰り返すことで確認通知を何度も執拗（しつよう）に受信させ、相手を疲れ果てさせて承認に追い込む。」「18歳」

[tmatsuu]

MFA Fatigueを多要素認証疲れと訳すとイマイチ意味が分かりにくい問題があるな。かといってもっと良い意訳は思いつかないけども。うーん、

[kamiaki]

“MFA Fatigueは、攻撃側が「人間」の弱さを突いて、その対策をかいくぐる手口を見つけ出している”

[defiant]

この記事をおすすめしました

[aceraceae]

なるほど、ほんとに疲れさせるわけね。

[Falky]

『従業員が寝ようとしている午前1時に100回電話をかければ、大抵は受け入れる』いや、スマホの電源切って寝るだろ…

[nezuku]

時間当たりの通知回数の制約や、通知するタイプの多要素認証自体の見直しが必要そうなのかな。TOTPとか承認者主導のやり方にすべきというのか

[adsty]

確認通知を何度も送り相手を疲れ果てさせて承認に追い込む。

[circled]

ハッカーの攻撃に晒されたので、寝る前にiPhoneの機内モードをONにした

[rryu]

SMSで送られてきた承認URLをクリックするタイプのMFAで、ひたすらMFAを試してSMSを送った挙句にIT管理者を装って承認すれば止まるよと伝えてとどめを刺すらしい。

[jojoagogo0]

“これを足掛かりにUberのVPNにアクセスを確立し、自分の端末を登録。ネットワーク内部に侵害を広げていき、別の弱点を見つけて管理者権限も乗っ取った。”これがすごい。一担当者のアカウントからこんなことできるん

[keinear]

「いやその従業員アホでは？」とか書いてるやつおるけどロックスターは２０００人以上従業員いるし、99％は大丈夫でも1％がかかる可能性が考慮出来ないアホなのかな？Uberの従業員に至っては本体だけで３万人もいる。

[WindyWindriyas]

怖いなぁ。やはりログイン端末制限は必須かー

[Sixeight]

あたまいいな

[kuborn]

対策のためのパスワード変更の通知も埋もれるというのは自分でやろうするから。管理者に連絡すれば大抵のツールはパスワードリセットなりアカウント休止なりできる。違和感を感じたらすぐ相談するのが良い。

[spark7]

結局は人間の脆弱性か。「攻撃側が「人間」の弱さを突いて、その対策をかいくぐる手口を見つけ出している」

[nakakzs]

つか、２段階認証の番号発行通知が３回とか５回以上使われなかった場合、ロックかけた方がいいよな。

[okemos]

ハッキング、いやクラックングというのは人間要素によるものなんだというのを地で行くようなやり方だな。

[clubman023]

はー

[yodelx]

ID/PWの認証が突破されてて連続攻撃受けた時点でPW変更すべき。PW変更のための認証が区別つかない⇒区別つきそうだけど。。。

[ebibibi]

なるほど。こういう手もあるのか。 自分からIT担当者に連絡してパスワードリセットしてもらうのがいいかな。

[ys0000]

管理者権限でパスワードリセットしたり、アカウントを一時停止したりする方法が必要なのかな。根負けなんて方法があるとは思わなかったよ。通知オフしするか電源切っとけと。

[KAN3]

頻繁にログイン確認するサービスはこの攻撃をみて改めてほしい。Yahooとか。

[harumomo2006]

google authenticatorなら夜もぐっすり

[dot]

クラッキングの手法の一つにソーシャルエンジニアリングというのがあるけど、「多要素認証疲れ攻撃」も一種のそれやな。セキュリティシステムが鉄壁なら一番セキュリティが弱い部分である人間を狙うのが効果的。

[gohankun]

ゲームのリークをしたがる人も、ありがたがる人もさっぱり理解できない。待つ楽しみを知らんのか。

[otchy210]

パスワード認証失敗 5 回で 1 時間ロックするみたいな実装を、多要素認証無視 5 回でも実装すれば良いだけでは？

[tk_musik]

でも多要素認証無かったらとっくにログインされてたんだよね。一段セキュアになった先の話だね。