採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 電子認証局サービス BLOG
  4. クライアント認証ソリューション
  5. Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle(AiTM)」について発表

電子認証局サービス BLOG

クライアント認証ソリューション

2022 年 07 月 21 日

Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle(AiTM)」について発表

2023 年 11 月 6 日更新

Microsoft のセキュリティ研究チームが、大規模なフィッシングキャンペーンである「Adversary-in-the-Middle(AiTM)」について発表しました。

Microsoft:From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud

Adversary-in-the-Middle(AiTM)について

AiTM は、攻撃者がターゲットユーザーとユーザーがアクセスしたい Web サイト(攻撃者が偽装したいサイト)の間にプロキシサーバーを配置し、ターゲットのパスワードと Web サイトとの継続的かつ認証されたセッションを証明するセッション Cookie の窃取を目的としたフィッシング攻撃です。

AiTM フィッシングはセッションクッキーを盗むため、多要素認証 (MFA: Multi-Factor Authentication) の認証プロセスを回避して不正アクセスを実現します。

なお、この攻撃は 2021 年 9 月以降、1 万以上の組織が標的になっています。

「FIDO 認証」と「証明書ベースの認証」による対策が有効

すべての MFA が AiTM フィッシングで認証プロセスを回避されるわけではなく、「Fast ID Online (FIDO) v2.0」と「証明書ベースの認証」をサポートするソリューションであれば、MFA の実装を「フィッシング耐性」にすることができると Microsoft は述べています。

「フィッシング耐性」が高い「証明書ベースの認証」と他の認証要素の違いについて

「フィッシング耐性」が高い「証明書ベースの認証」と他の認証要素の違いについて、まずは仕組みの違いを説明します。

多要素認証を証明書ベースの認証で行う場合

多要素認証を証明書ベースの認証で行う場合

多要素認証を SMS/ 電話 / 認証アプリで行う場合

多要素認証を SMS/ 電話 / 認証アプリで行う場合

上述のとおり、「フィッシング耐性」が高いかどうかは、ID/ パスワードに加えて行う認証要素で認証を行う際、攻撃者を経由するか否かが大きな違いです。
「フィッシング耐性」の認証要素では、追加の認証要素においても正規サイトとユーザーの間に攻撃者の偽サイト(リバースプロキシサーバー)が存在し、攻撃者は認証に必要な情報を提示 / 中継できないため、認証自体が失敗します。
一方、SMS/ 電話 / 認証アプリのような認証要素の場合、正規サイトから直接ユーザーに認証を要求するため、認証 OK となった場合にはその情報を攻撃者が窃取可能となります。

デバイス ID による証明書ベース認証

「サイバートラスト デバイス ID」のデバイス証明書は、「証明書ベースの認証」を実現可能なクライアント証明書であり、多様なベンダーやサービスをサポートしています。

新たな脅威への対応策として、初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能な「サイバートラスト デバイス ID」の導入をぜひご検討ください。

なお、「サイバートラスト デバイス ID」では、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット をご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。

< 前の記事へ
ウイズコロナ時代におけるゼロトラストセキュリティ実現のカギとは
次の記事へ >
Azure Active Directory で証明書ベースの認証を行ってみた
最新 BLOG 記事
PMDAの申請電子データシステムで利用可能な個人証明書とは?~承認申請時の負担を軽減~
PMDAの申請電子データシステムで利用可能な個人証明書とは?~承認申請時の負担を軽減~
2025 年 06 月 05 日
2025 年運用開始、組織印の電子版「eシール」とは?~電子書類の真正性を担保し、企業の信頼性向上にも貢献~
2025 年運用開始、組織印の電子版「eシール」とは?~電子書類の真正性を担保し、企業の信頼性向上にも貢献~
2025 年 05 月 30 日
ゼロトラストアーキテクチャの実現に求められるデバイス管理事例 【ビジネス・コンシェル デバイスマネジメント編】
ゼロトラストアーキテクチャの実現に求められるデバイス管理事例 【ビジネス・コンシェル デバイスマネジメント編】
2025 年 05 月 29 日
iPhone「AppleWallet」が法律上の本人確認方法として利用可能に~マイナンバーカード機能搭載で何が変わる?~
iPhone「AppleWallet」が法律上の本人確認方法として利用可能に~マイナンバーカード機能搭載で何が変わる?~
2025 年 05 月 28 日
Jamf Pro の SCEP 機能を利用し「デバイスID証明書」を配付してみた ~ Apple 製デバイスのセキュリティ強化を効率化 ~
Jamf Pro の SCEP 機能を利用し「デバイスID証明書」を配付してみた ~ Apple 製デバイスのセキュリティ強化を効率化 ~
2025 年 05 月 21 日
【StartIn × デバイス ID】デバイス ID 証明書をクライアント端末に配付して、証明書認証をしてみた
【StartIn × デバイス ID】デバイス ID 証明書をクライアント端末に配付して、証明書認証をしてみた
2025 年 04 月 10 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
iTrust SSL/TLS サーバー証明書