プロジェクトオーガナイザの吉田聖書です。
Uberというサービスを展開しているアメリカのウーバー・テクノロジーズが現地時間の9月15日にサイバー攻撃を受け、そのことを公式サイトで発表しました。
Security update(2022/9/16、2022/9/19更新 Uber Technologies, Inc.)
その記事によると、Uberの請負業者の個人の端末がまず乗っ取られましたと。乗っ取られたというか、マルウェアに感染して情報が抜かれたということのようです。抜かれた情報の中にはUberサービスのアカウント(おそらく請負事業者としてのアカウントだと思われます)が含まれていて、そして今回のサイバー攻撃を行った人は、何らかの手段でその情報を入手したようです。
攻撃者は入手した情報(おそらくIDとパスワード)を使ってUberアカウントにログインを試みました。セキュリティ対策ができていない企業ですとこの時点でアウトなんですが、ウーバー・テクノロジーズ社では2要素認証の仕組みを導入していまして一時的には難を逃れました。
最初は確かにアカウントの所有者は承認要求を拒否したんですと。まあ、本人は使おうとしていないわけですから、不審に思うわけですよね。ところが、何度も承認要求を続けて受け取ったようで、操作ミスだったのかもしれませんが、何回か拒否した後に承認してしまい、それによってウーバー・テクノロジーズ社のネットワークに侵入されてしまったということです。
これはなかなか厳しいですよね。以前も、2要素認証を突破したセキュリティ事故について取り上げましたが、IDとパスワードによる認証だけではセキュリティ対策として不十分だからということで2要素認証を導入するわけです。なのに、それを突破されてしまうということですから、次なる手を考える必要があります。
2要素認証にもいくつか種類がありますが、単純なものはアカウント所有者のデバイスに承認要求が送られ、受け入れるか拒否するかを選択するというもの。別のパターンはアカウント所有者のデバイスに認証コードが送られ、そのコードをアプリの画面で入力するというものです。他にもパターンがあると思いますが、今回のUberのケースはおそらく前者のパターンだったのではないかと読み取りました。
以前取り上げたCloudflareやTwilioのセキュリティ事故では、後者のパターンの2要素認証を突破されたわけですから、単純に前者の方式が劣悪で、後者の方式が優れているということにはならないですよね。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
今回のパターンの攻撃は「MFA疲労攻撃」という名前が付けられています。MFAというのは Multi-Factor Authentication つまり多要素認証のことです。疲労というのは対応するのが疲れるほどの頻度で攻撃するということからつけられているようですが、アカウント所有者本人が承認するまで、その人の個人端末に承認要求を送り続けるという攻撃です。これをやられたらたまらないですよね。
ピンポイントで狙われたら、個人レベルで回避できることはほぼありません。スマホなど個人端末の電源を切ることくらいでしょうか。連絡帳に無い番号からのショートメッセージは受け付けないとか、そういう設定ができると良いのかもしれませんが、一般的に不便になるのでそうする人はいないと思います。
そうなると、これは異常な頻度でログインのアクセスを検知した場合に、認証サーバー側で遮断する、あるいはそのアカウントを一時的に凍結するというような措置を取るしかないのではないでしょうか。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。