パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった」記事へのコメント

  • by Anonymous Coward on 2022年10月01日 19時04分 (#4336842)

    > 最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

    以前からソーシャル・エンジニアリングは非常に有効な手口だと言われていますね。

    • by Anonymous Coward

      そりゃどれだけ堅固で厳重なセキュリティを構築したって、権限持ってる人間が許可してしまえばお終いだしね

    • by Anonymous Coward

      これは簡単な話で、ユーザーIDとパスワードが合っててMFAに進んだけどMFAを突破できなかったことが一定の基準で続いたら
      アカウントをロックアウトすりゃよい、それだけの話
      過去1時間に3回失敗してて4回目失敗したら、アカウント3時間ロックアウト

      これでいい。MFAが失敗なんてレアと考えれば、24時間ロックアウトでもよい。

      • by Anonymous Coward on 2022年10月01日 23時26分 (#4336975)

        簡単だと軽率に思って失敗n回でロックというよくある対策をしたものの、攻撃を理解してないから意味をなさないという例だな

        そもそもこの攻撃では一度も認証に失敗してないんだぞ
        攻撃者は通知を送りまくって認証出来るやつに認証するというアクションを取らせる攻撃
        認証出来るやつがする以上、認証は普通に成功する、実際にした

        単なる認証失敗回数による対策ではダメで、タイムアウトの取り扱いや、連続での通知要求に閾値を設けることなどを考えないとこの攻撃は防げないのよ

        親コメント
        • by Anonymous Coward

          いや認証失敗してるけど

          100回連続でMFAさせて(権利者は許可しないからいずれも失敗になる)認証疲れになったところで
          電話をかけ、「システム不具合で連続で飛んじゃってる、直すのでいったん承認してくれ」と言ってだまして
          MFAを突破してるんやで

          • by Anonymous Coward

            > 権利者は許可しないからいずれも失敗になる

            許可しない=失敗になる、だと軽率に思って失敗n回でロックというよくある対策をしたものの、システムを理解してないから意味をなさないという例だな
            そんなもん実装によるに決まってるだろ

            例えば、LinuxのPAM(tally2.so)ならsudoなりした時点で未入力キャンセルでも失敗になるが、
            Windowsのrunasでは未入力キャンセルでは失敗にならんのだ

    • by Anonymous Coward

      分かりやすいソーシャルハックだね。この従業員には疲れもあるだろうが、システムの異常に見える点が大きいと思う。
      パスワードを盗まれている認識が無ければ、問題を把握しているIT担当者(偽)に対応を頼まれたら承認するぐらいどうってことない。

      手法が知れてしまえば何度も効く技じゃないけど、前例のない手法を全一般従業員に防御させるのはかなり難しい気がする。
      やっぱりID/パスワードを盗られてる時点で負けかねえ。

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...