IR 情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 電子認証局サービス BLOG
  4. クライアント認証ソリューション
  5. Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle(AiTM)」について発表

電子認証局サービス BLOG

クライアント認証ソリューション

2022 年 07 月 21 日

Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle(AiTM)」について発表

Microsoft のセキュリティ研究チームが、大規模なフィッシングキャンペーンである「Adversary-in-the-Middle(AiTM)」について発表しました。

Microsoft:From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud

Adversary-in-the-Middle(AiTM)について

AiTM は、攻撃者がターゲットユーザーとユーザーがアクセスしたい Web サイト(攻撃者が偽装したいサイト)の間にプロキシサーバーを配置し、ターゲットのパスワードと Web サイトとの継続的かつ認証されたセッションを証明するセッション Cookie の窃取を目的としたフィッシング攻撃です。

AiTM フィッシングはセッションクッキーを盗むため、多要素認証(MFA: Multi-Factor Authentication)の認証プロセスを回避して不正アクセスを実現します。

なお、この攻撃は 2021 年 9 月以降、1万以上の組織が標的になっています。

「FIDO 認証」と「証明書ベースの認証」による対策が有効

すべての MFA が AiTM フィッシングで認証プロセスを回避されるわけではなく、「Fast ID Online (FIDO) v2.0」と「証明書ベースの認証」をサポートするソリューションであれば、MFA の実装を「フィッシング耐性」にすることができると Microsoft は述べています。

デバイス ID による証明書ベース認証

「サイバートラスト デバイス ID」のデバイス証明書は、「証明書ベースの認証」を実現可能なクライアント証明書であり、多様なベンダーやサービスをサポートしています。

新たな脅威への対応策として、初期費用なし、10 ライセンスからご利用可能で、WEB 申し込みから 10 営業日以内の短期間で導入可能な「サイバートラスト デバイス ID」の導入をぜひご検討ください。

なお、「サイバートラスト デバイス ID」では、無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキットをご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてデバイス ID をお試しください。

< 前の記事へ
ウイズコロナ時代におけるゼロトラストセキュリティ実現のカギとは
最新 BLOG 記事
Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle(AiTM)」について発表
Microsoft が多要素認証を回避するフィッシング攻撃 「Adversary-in-the-Middle(AiTM)」について発表
2022 年 07 月 21 日
DX に取り組むうえでの基本のき
DX に取り組むうえでの基本のき
2022 年 01 月 27 日
電子帳簿保存法改正のポイントと企業が注意すべき点とは?
電子帳簿保存法改正のポイントと企業が注意すべき点とは?
2021 年 11 月 29 日
ウイズコロナ時代におけるゼロトラストセキュリティ実現のカギとは
ウイズコロナ時代におけるゼロトラストセキュリティ実現のカギとは
2021 年 10 月 29 日
加速する非対面取引、セキュアで厳格に本人確認し、本人確認書類や顔写真の取得・保管を回避するためには
加速する非対面取引、セキュアで厳格に本人確認し、本人確認書類や顔写真の取得・保管を回避するためには
2021 年 10 月 18 日
非対面取引におけるなりすましを防ぐ、より厳格な本人確認とは
非対面取引におけるなりすましを防ぐ、より厳格な本人確認とは
2021 年 06 月 25 日
カテゴリ
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS