Malwarebytesは9月22日(米国時間)、「Welcome to high tech hacking in 2022: Annoying users until they say yes」において、Uberがソーシャルエンジニアリングの斬新な手法を用いた攻撃者によって被害を受けたと伝えた。Uberに対して、多要素認証(MFA: Multi-Factor Authentication)疲労攻撃が行われたことが判明した。
多要素認証疲労攻撃は、攻撃者がすでに被害者のログイン情報を持っていることが前提とされている。攻撃者が何度も被害者のアカウントへのログインを試み、被害者が使用している多要素認証用に設定したモバイル端末またはアプリに「サインインを承認してください」、「あなたですか」、「ログイン操作が必要です」などといったログインの確認を求める何十、何百ものプッシュ通知を送りつけるという攻撃を仕掛けてくる。
今回のUberへの攻撃ではWhatsAppを介して被害者に接触し、UberのITチームのふりをして繰り返される通知を止めるには承認するしかないというメッセージを送り、被害者をだましたとされている。
Malwarebytesは多要素認証攻撃に対する防御策として、次のようなのヒントを紹介している。
- 多要素認証のゴールドスタンダードとしてハードウェアキーのようなFIDO (Fast IDentity Online)2デバイスを推奨している。FIDO2はフィッシングやプッシュ通知スパムに耐性があるとされている
- プッシュ通知を使用する場合で番号照合が可能であれば有効に設定する
- レートリミッターを使用して多くのプッシュ要求が来た時に認証を制限し、ロックアウトする
- プッシュ通知が繰り返し届く場合、ユーザー名およびパスワードが知られている可能性があるため、IT部門またはセキュリティチームに連絡を取り、パスワードを変更する
多要素認証疲労攻撃によるサイバー攻撃はUberに限らず、MicrosoftやCisco Systemsのような企業に対しても使われている。多要素認証疲労攻撃による脅威は誰にでも起こり得ることだとされており、組織に対して適切な対抗策を実施することが望まれている。