あるAnonymous Coward 曰く、
先日発生した Uber や Rockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている
(ITmedia NEWSの記事、
Yahoo! ニュースの記事)。Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。
ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。
| セキュリティ
|
関連ストーリー:
2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る
2022年09月24日
不正アクセスにより開発中のグランド・セフト・オート6の情報が流出
2022年09月22日
LastPass、8 月の不正アクセスに関する調査の続報を発表
2022年09月20日
米Uber Technologies、システムにハッキング攻撃を受ける
2022年09月20日
Microsoft 曰く、ランサムウェア攻撃の 80 % 以上が誤った構成を狙う
2022年08月31日
攻撃者が多要素認証エンロールの仕組みを悪用し、多要素認証を有効にした組織のアカウントを入手する手法
2022年08月25日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨
2020年11月13日
Source: スラッシュドット
