なぜ問題か
多要素認証(MFA)は「最後の砦」として多くの企業に導入されています。ところが最近は、この仕組みを逆手に取った MFA疲労攻撃(MFA Fatigue Attack) が急増。攻撃者が大量のプッシュ通知を送りつけ、ユーザーが「面倒だから承認してしまう」心理を突いて突破する手口です。中小企業でもクラウドサービス利用が進んだいま、決して対岸の火事ではありません。
攻撃の仕組み
- 攻撃者が正しいIDとパスワードを入手
- 被害者のスマホに何十件もプッシュ通知が連続到達
- 深夜や業務中に鬱陶しさから「承認」をタップ
- その瞬間、不正ログインが成立
人間の心理を利用した、極めて現実的な攻撃です。
よくある失敗(落とし穴)
- プッシュ通知だけをMFAに利用している
- 異常な試行回数を検知していない
- ユーザー教育が「必ずMFAを承認しましょう」で止まっている
これでは、せっかくのMFAも形骸化してしまいます。
防ぎ方(実践ステップ)
番号マッチや追加確認の導入
単純な「承認」ではなく、ログイン画面に表示された番号を入力させる方式に変える。
回数制限・自動ブロック
短時間に一定回数を超えたプッシュ通知は自動的に停止し、アラートを上げる仕組みを導入。
プッシュ以外の要素を組み合わせる
ハードウェアキーや認証アプリのコード入力など、多層化を検討。
社員教育を強化
「夜中にプッシュが来たら絶対に承認しない」など、現場で即実践できるルールを周知。
まとめ
MFA疲労攻撃は、システムの弱点ではなく「人の疲れ」を突く攻撃です。設定の工夫と教育の徹底で、突破をほぼ防ぐことができます。
