Microsoftは9月29日(米国時間)、「Defend your users from MFA fatigue attacks - Microsoft Tech Community」において、多要素認証(MFA: Multi-Factor Authentication)疲労攻撃からユーザーを守るためにMicrosoftが提供している対策を紹介した。
ユーザーの強力な認証の採用が進むにつれ、多要素認証疲労攻撃が増加している。この攻撃は認証時に使用される単純な音声、SMS、またはプッシュ通知を承認する能力を当てにするとされている。初回に単純な承認要求を受け入れるユーザーが約1%いるとされており、ユーザーがログイン画面から情報を入力しなければならないようにするため、より多くのコンテキストと保護を確保することが重要と説明されている。
Microsoftは、ユーザーを保護するために最も一般的多要素認証手法として、スマートフォン認証アプリであるMicrosoft Authenticatorを提供している。ここでは、Microsoft Authenticatorによる多要素認証疲労攻撃からユーザーを保護するための方法などか紹介されている。
- 善良なユーザーが誤ってサインインを承認するのを防ぐ
「数値の一致」は、ログイン画面からAuthenticatorアプリに2桁のコードを入力させることで、誤承認を防止する。ユーザーがサインインを開始しなかった場合、攻撃者は別のチャネルで2桁のコードを共有する必要がある。
- より多くのコンテキストを提供することで、ユーザーの適切な意思決定を支援する
「追加のコンテキスト」は、ユーザに送信されるプッシュ通知に追加情報を表示する。追加情報には承認を要求するアプリケーションの名前と、サインインが行われたIPアドレスに基づく場所が表示される。このコンテキストによってサインインの発信元が理解しやすくなり、誤って承認してしまう可能性を減らすことができる。
- リスクのあるユーザーのパスワードを自動で変更する
リスクのあるユーザのパスワード変更を自動化することでユーザーを保護することができる。Azure Active Directoryの危険なユーザレポートでリスクのあるユーザーを確認し、ユーザーのパスワードを自動的に変更することができる。
Microsoftはユーザーのセキュリティ対策は最優先事項だとし、これらの機能をできるだけ早く有効にするよう強く勧めている。なお、取り上げられている一部の機能は2021年11月に発表されており、今後数か月以内にすべてのユーザーに対して有効になる予定だとしている。