多要素認証をすり抜ける「MFA疲労」攻撃、プッシュ通知の悪用に要警戒

背景

アカウント保護の有効な手段として広く利用されている多要素認証（MFA）に対し、プッシュ通知を悪用した「MFA疲労（MFA Fatigue）」攻撃が国内外で報告されています。攻撃者は、正規利用者の端末に短時間で大量の認証要求を送りつけ、ユーザーの誤操作や根負けによる「承認」クリックを誘発し、アカウントへの不正ログインを狙います。Microsoft、Cisco、Uberなどの大手企業でも被害が確認されており、従来の「MFAを有効化していれば安心」という前提が揺らいでいます。特に深夜帯や業務多忙時を狙った攻撃が多く、テレワーク環境での認証疲れを悪用した巧妙な手口として注目されています。

実態

MFA疲労攻撃では、まずフィッシングやパスワードリスト攻撃、過去の情報漏洩データなどからIDとパスワードを入手した上で、クラウドサービスやVPNのログイン画面から何度も認証を試行します。これにより、ユーザーのスマートフォンやPCにプッシュ型MFAの承認通知が連続して表示され、「うっかり承認」や「通知を止めたい一心での誤操作」といったヒューマンエラーを引き起こします。攻撃者は心理的な圧迫を与えるため、1分間に数十回の認証要求を送信することもあります。また、正規の業務時間外や休日を狙うことで、ユーザーの警戒心が低下したタイミングを狙い撃ちします。さらに高度な攻撃では、フィッシング電話と組み合わせて「システム障害の復旧のため認証が必要」などと偽り、ユーザーを欺いて承認させる手口も確認されています。

影響と対策

アカウントが乗っ取られると、メール・クラウドストレージ・VPN・管理コンソールなど、さまざまな社内システムへの不正アクセスにつながり、情報漏洩やランサムウェア感染のリスクが高まります。対策としては、プッシュ型認証を利用する場合でも「番号マッチング」や「ロケーション表示」機能を有効化し、単純な「承認／拒否」のみの画面にしないことが重要です。また、短時間に大量のMFA要求が発生した場合に自動的にアカウントをロックする仕組みの導入や、異常な認証パターンを検知するアラート機能の活用が有効です。FortiGateやCheck Pointなどのリモートアクセス環境においては、ゼロトラスト・ネットワークアクセス（ZTNA）の考え方を取り入れ、認証後も端末の健全性や行動パターンのリスクに応じてアクセスを継続的に制御することが推奨されます。さらに、従業員に対する定期的なセキュリティ教育により、異常な認証要求への適切な対処方法を周知することも不可欠です。

まとめ

MFAは依然として重要な防御手段ですが、その運用方法次第では新たな攻撃対象にもなり得ることが明らかになりました。「MFAを導入しているから安全」と考えるのではなく、認証方式・アラート設定・運用ルールを継続的に見直し、人と仕組みの両面からアカウント防御を強化することが求められます。PSI社では、ネットワーク製品を通じて、進化する認証攻撃に対応できる多層防御体制の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp