The US Government Now Wants Phishing Resistant MFA

1年前、米国政府は新たな指令を出した。その目標は、2024年までに政府の主要なデジタル・インフラを「フィッシングに強いMFA」システムに移行させることだった。フィッシングとは、サイバー犯罪者が欺瞞的な技術、あるいはデジタル・スパイ／監視技術を使って、アカウントにアクセスするために必要なログイン認証情報を盗むことである。従来のパスワード・システムは、1つのパスワードで全アクセスを許可するため、常にこれに対して特に脆弱であった。

パスワードが盗まれるメカニズム

アクセスを盗む最も一般的なテクニックは以下の通り：

フィッシング

これは通常、権限のある個人または組織になりすまし、通常は偽のウェブサイトでのクレデンシャル・チェックインを要求する偽の電子メールを伴う。

プッシュ爆撃

何度も通知を送ることで、疲労が蓄積され、最終的に通知を誤って受け入れ、デバイスへのアクセスを不注意に許可してしまうことを期待している。

SS7プロトコルの脆弱性

携帯電話の通信インフラには、外部からの監視を可能にする一定の脆弱性がある。より巧妙なサイバー犯罪者は、これらの通信回線をスパイし、テキスト／SMSで送信されたメッセージを読むことができる。

SIMスワップ

フィッシングのより専門的な形態であるこの手口は、被害者になりすまし、サービス・プロバイダーに出向き、被害者を欺いて、盗もうとするIDを装った人物にアカウントへのアクセス権をより多く明け渡させる。ここでは、被害者がアクセス権を提供するのではなく、被害者のサービス・プロバイダが提供する。

MFAはどのように役立つか

フィッシングに耐性のある多要素認証（MFA）は、これらの確立されたプラクティスを実行することをほぼ不可能にする障壁を投げかけます。この認証の多要素の性質は、検証とアクセスに複数のコンポーネントが必要であることを意味します。つまり、パスワードがまだ使用されていたとしても、万が一パスワードが盗まれた場合、生体認証や物理的なパスキーなどの他のコンポーネントによって、パスワードだけではアクセスを許可することができなくなります。

Fast Identity Online Association（FIDO）は、Cybersecurity & Infrastructure Security Agency（CISA）と協力し、さまざまなハードウェアやソフトウェアで機能する標準的なフィッシングに強いMFA技術を開発しました。FIDO/WebAuthn認証とパスキーのような公開鍵認証基盤は、SS7のような監視技術でさえ、窃盗犯にとって完全な成功を収めることができないことを意味しています。なぜなら、特定のデバイスでパスキーを使用することが要求されるか、または拇印のような生体認証がリモート・アクセスを防ぐからです。

これにより、政府職員はデータ保護に必要なセキュリティを確保しながら、現場や場所を問わず、個人所有のデバイスでデータに安全にアクセスできる柔軟性を手に入れることができる。

サイバーセキュリティの向上にご興味のある方は、Nok Nokの多要素認証技術やパスワードレス・セキュリティ対策についてこちらをご覧ください。