ガジェット

Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった

あるAnonymous Coward 曰く、

先日発生した UberRockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている
(ITmedia NEWSの記事
Yahoo! ニュースの記事)。

Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。

ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

すべて読む

| セキュリティセクション

| セキュリティ
|
この記事をTwitterでつぶやく
この記事をFacebookで共有
この記事をGoogle Plusで共有
このエントリーをはてなブックマークに追加

関連ストーリー:

2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る
2022年09月24日

不正アクセスにより開発中のグランド・セフト・オート6の情報が流出
2022年09月22日

LastPass、8 月の不正アクセスに関する調査の続報を発表
2022年09月20日

米Uber Technologies、システムにハッキング攻撃を受ける
2022年09月20日

Microsoft 曰く、ランサムウェア攻撃の 80 % 以上が誤った構成を狙う
2022年08月31日

攻撃者が多要素認証エンロールの仕組みを悪用し、多要素認証を有効にした組織のアカウントを入手する手法
2022年08月25日

Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨
2020年11月13日

Source: スラッシュドット