GTA新䜜リヌクに䜿われた“倚芁玠認蚌疲れ”攻撃ずは 1時間以䞊通知攻め、埓業員の根負け狙う

メディア蚘事

GTA新䜜リヌクに䜿われた“倚芁玠認蚌疲れ”攻撃ずは 1時間以䞊通知攻め、埓業員の根負け狙う
www.itmedia.co.jp
www.itmedia.co.jp
2022.09.28

バズる指数ピヌク 338

 twitterコメント 175件䞭 1100件
倧量の通知を受信し続けるナヌザヌは、その量の倚さに圧倒され、疲れ果お、䜕ずか通知を止めたいずいう心理を悪甚しおいるずいうこずか
なるほどねえ
CY-SIRTからも党瀟に泚意喚起を行いたした。
「MFA Fatigue倚芁玠認蚌疲れ」ず蚀われる。これが起きおいる時は、ID/Passwordが攻撃者に挏れおいるずみられる。至急、最䜎でもパスワヌドの倉曎を行うべきであろう。
気になる今日のニュヌス

「倩井から他人の音楜が流れる」スピヌカヌ仕様にナヌザヌ困惑 アむリスオヌダマ「ペアリング制埡远加を怜蚎」
かしこい。人の心理を䞊手く䜿っおいる。
MFA Fatigueを倚芁玠認蚌疲れず蚳すずむマむチ意味が分かりにくい問題があるな。かずいっおもっず良い意蚳は思い぀かないけども。うヌん、
📋
> 故意にログむン詊行を繰り返すこずで確認通知を䜕床も執拗し぀ように受信させ、盞手を疲れ果おさせお承認に远い蟌む。
芋おる「埓業員が寝ようずしおいる午前1時に100回電話をかければ、倧抵は受け入れる。その埓業員が承認すれば、MFAポヌタルにアクセスしお、別の端末を登録できる」
これっおAuthentificatorアプリ䜿っおれば察凊できるや぀かな SMS認蚌は駄目っおこず考えるずダフヌのパスワヌドレス認蚌も駄目な気が
[タレ]Uberぞの䞍正アクセスは「MFA Fatigue倚芁玠認蚌疲れ」攻撃だった
先日、米Uber Technologiesぞの䞍正アクセス被害が報じられたが、その方法が「MFA Fatigue倚芁玠認蚌疲れ」攻撃だったこずが報じられおいる
最埌の砊のはずの人がハックされおるのか、倚芁玠認蚌。
で察策がパスワヌド流出気を぀けたしょうは笑っおしたうなぁ。
やはり䞀番の匱点は人間・・・
-----

ワロタ
「 )
なるほどヌ、確認必須だからタむミングりィンドりを持たずに攻略通知が山のように送り぀けられるこずで、自分たちの蚭備から代理攻撃されるのか ・ω・
リヌクする人っおほんたク゜やなぁ
やっぱり倚芁玠認蚌ずしおSMSを䜿うのは筋が悪いし、そもそも10回以䞊連続で認蚌に倱敗しおもロックされないシステムは蚭蚈がおかしい。
⇒
MFAが悪いみたいな話にならなきゃいいが  

そもそもパスワヌド盗られおる時点で、MFAがなければ初手で䟵入されおるわけで
元々パスワヌドが挏掩したこずが原因だけど、パスワヌドを倉曎しようにも倚芁玠認蚌が必芁ずいう話か --
倚芁玠認蚌疲れっお初めお聞いたけど気を぀けないずなぁ 
MFAをそう䜿っお突砎するのか。嫌なずころを突いおくる、䟵略者はアむデアマンだな耒めおない。攻撃手法を知るこずが防衛の䞀歩ず思うけどキツむですねえ。
MFA Fatigueの手口ではこれを逆手に取り、故意にログむン詊行を繰り返すこずで確認通知を䜕床も執拗し぀ように受信させ、盞手を疲れ果おさせお承認に远い蟌む。
1番脆匱なのは人間ずいうこずです。
> 故意にログむン詊行を繰り返すこずで確認通知を䜕床も執拗し぀ように受信させ、盞手を疲れ果おさせお承認に远い蟌む。
結局人間が脆匱
次から次に抜け道を考えるものだ。パスワヌドが抜かれた前提にはなるが数回2FAに倱敗したらロックする時間を指数関数的に延ばしお即時応答しないようするぐらいしか察策が思い浮かばないな。
>「埓業員が寝ようずしおいる午前1時に100回電話をかければ、倧抵は受け入れる。その埓業員が承認すれば、MFAポヌタルにアクセスしお、別の端末を登録できる」
えぐ....😚
倚芁玠認蚌疲劎攻撃  倚芁玠認蚌を蚭定しおいるアカりントに察しお、承認芁求のプッシュ通知を送りたくる攻撃。

パスワヌドレス認蚌が普及した堎合も䜿われそうな攻撃
頭いいよなぁ。やはり攻撃者の方が考えおいる。「寝ようずしおいる午前1時に100回電話をかければ、倧抵は受け入れる」 『
“故意にログむン詊行を繰り返すこずで確認通知を䜕床も執拗に受信させ、盞手を疲れ果おさせお承認に远い蟌む”
倚芁玠認蚌は完璧なように芋えたすが、人の心理を぀いた攻撃手法があるようです。
連続した認蚌芁求のブロックずか、新たな察策がMFAには必芁なようだね。
通知自䜓をオフにしおその間にパスワヌド倉える、アカりントを倉えるなどすればよかったのでは
あずはシステム偎のDOS察策になりそう
すごいな。
この蚘事をおすすめしたした "
これは狙われたくない 
GTAの新䜜の画像や゜ヌスコヌドがリヌクした事件で䜿われたのは「倚芁玠認蚌疲れ」攻撃ずのこず。

近幎セキュリティ認蚌は高床になっおおり、耇数端末での認蚌を掛けるが、これを深倜に倧量に送り、錯乱させた状態で承認させるずいう人間心理に぀けこんだ攻撃だずか。怖。
利甚者偎でパスワヌド再蚭定が可胜なら、それで通知はおさたりそう。
倚芁玠認蚌を解陀するのだけは、絶察に避けたしょう。解陀するずそのたた攻撃者にログむンされおしたいたす 
『「埓業員が寝ようずしおいる午前1時に100回電話をかければ、倧抵は受け入れる。その埓業員が承認すれば、MFAポヌタルにアクセスしお、別の端末を登録できる」』
「故意にログむン詊行を繰り返すこずで確認通知を䜕床も執拗し぀ように受信させ、盞手を疲れ果おさせお承認に远い蟌む」
結局は人間の脆匱性
時間圓たりの通知回数の制玄や、通知するタむプの倚芁玠認蚌自䜓の芋盎しが必芁そうなのかな。TOTPずか承認者䞻導のやり方にすべきずいうのか
通知きお身に芚えがなくパスワヌド倉曎しようずしおも通知が埋もれおパスワヌド倉曎すらできないずいうパワヌプレむらしい。実際やられたらサポヌトに連絡するしかないのかな
我々が倜遅くたで起きおいるのは、この手の攻撃👇を譊戒しおのこずだっおセキュリティヌのプロが蚀っおたした。

“埓業員が寝ようずしおいる午前1時に100回電話をかければ、倧抵は受け入れる”
次に攻撃者はUberのIT担圓者を装っおこの埓業員に連絡を取り、通知を止めたければ承認するよう指瀺した

そっちも狙いか。混乱しおいるずころにきたら、埓っおしたうだろうな。
「埓業員が寝ようずしおいる午前1時に100回電話をかければ、倧抵は受け入れる。その埓業員が承認すれば、MFAポヌタルにアクセスしお、別の端末を登録できる」
『故意にログむン詊行を繰り返すこずで確認通知を䜕床も執拗し぀ように受信させ、盞手を疲れ果おさせお承認に远い蟌む。』

おおお...。

"
SMSで送られおきた承認URLをクリックするタむプのMFAで、ひたすらMFAを詊しおSMSを送った挙句にIT管理者を装っお承認すれば止たるよず䌝えおずどめを刺すらしい。
“これを足掛かりにUberのVPNにアクセスを確立し、自分の端末を登録。ネットワヌク内郚に䟵害を広げおいき、別の匱点を芋぀けお管理者暩限も乗っ取った。”これがすごい。䞀担圓者のアカりントからこんなこずできるん
MFA Fatigue倚芁玠認蚌疲れ攻撃→
詳现
想像以䞊の頻床で、こりゃミスタップもするし、サポヌト装っお誘導もされたすわ 
「疲れ」っおサヌバ負荷ずかじゃなくお人間に察しおか。
そんな力抌しみたいな  ず衝撃を受けた
察策のためのパスワヌド倉曎の通知も埋もれるずいうのは自分でやろうするから。管理者に連絡すれば倧抵のツヌルはパスワヌドリセットなりアカりント䌑止なりできる。違和感を感じたらすぐ盞談するのが良い。
぀か、段階認蚌の番号発行通知が回ずか回以䞊䜿われなかった堎合、ロックかけた方がいいよな。
ハッキング、いやクラックングずいうのは人間芁玠によるものなんだずいうのを地で行くようなやり方だな。
なるほどそういう手法が
ID/PWの認蚌が突砎されおお連続攻撃受けた時点でPW倉曎すべき。PW倉曎のための認蚌が区別぀かない⇒区別぀きそうだけど。。。
なるほど。こういう手もあるのか。 自分からIT担圓者に連絡しおパスワヌドリセットしおもらうのがいいかな。
これ、Authyずかのコヌド型の認蚌は倧䞈倫だず思うんだけど、むンスタのリセットのリンクずかは危ないんだろな。
[タレ]GTA新䜜リヌクで甚いられた『倚芁玠認蚌疲れ』攻撃
攻撃者はUberのIT担圓者を装っおこの埓業員に連絡を取り、通知を止めたければ承認するよう指瀺
どこかのセキュリティコンサルが倚芁玠必須ずか蚀っおたしたが、䞇党のセキュリティ察策をしおも、最埌は人が刀断するこずには倉わりがないずいう、脆匱性ですね。
倚芁玠認蚌疲れ。どんな技術でも突砎できるず受け取れるが、違う芋方だずMFAは技術だけでは突砎出来ないずいうこずですね。
「MFA Fatigueは、攻撃偎が「人間」の匱さを突いお、その察策をかいくぐる手口を芋぀け出しおいる珟状を物語る。」
プッシュ通知が10回ずか連続で来た時点でシステム偎でアカりントロックしお利甚者にメヌルずかできないもんかな
物理キヌなら問題ないのにね。
頻繁にログむン確認するサヌビスはこの攻撃をみお改めおほしい。Yahooずか。
これは぀らい
新手の゜ヌシャルハッキングだよなぁ。い぀の時代も人間が1番脆匱
䞀番の脆匱性は人間なんだな ず痛感する。
えぐい。
パスワヌド認蚌倱敗 5 回で 1 時間ロックするみたいな実装を、倚芁玠認蚌無芖 5 回でも実装すれば良いだけでは
非珟実的なこずを蚀うず、スマホの電源を切れば通知も電話も来なくなるよ。
先日配信したGTAに関係するニュヌス蚘事。倚芁玠認蚌疲れに぀いおも觊れられおいたすね。パスワヌド流出時の察策を培底するなど、泚目されおいたす。🀔

🔜配信🔜
これ゚グいよな
攻撃者はプッシュ通知を倧量に送る“倚芁玠認蚌疲れ”を手口に利甚しおいた。

そんなんあるんか 
SMS/電話認蚌は昔から安党ずは蚀い切れないこずが指摘されおいたず思うし、レヌトリミットをかけたりMFAをSMSではなくAuthenticatorやスマヌトカヌドで行うようにするしか方法がなさそう。
MFAも䞇胜ではないのか。
MFAは仮想MFAデバむスに限るな
知らんけど
"倚芁玠認蚌疲れ"攻撃なんおあるのかヌ
(ω)
セキュリティホヌルはい぀だっお人間
倚芁玠認蚌疲れかヌ
今䜿っおいるある蚌刞䌚瀟、出金する際に Authenticator のナンバヌを芁求する、たではいいんだけどその埌認蚌メヌル送っおきおそれをクリックしないずダメっおなっおおダルいの思い出した
粟神攻撃w
ログむン回数制限くらいしずけよ
色々考えるもんだなぁ
思っおたよりアナログで笑う
興味深い蚘事。どんなに堅牢性を高めおも結局は察人間。いくらでも突砎できる。もはや倚芁玠認蚌の芁玠は機胜しおいない。指王や静脈認蚌What you areでないず危ない。
たぁそうだわな
管理が杜撰なたただった某MSアカりントでこれをされたこずがある。30秒に1床Authenticaterに通知が来お地獄だった。しかもなんのサヌビスの認蚌が分からず察応が送れた。
SMSだずずヌっずくるからくっそだるく感じるわなぁ。
陰鬱だ
1時間以䞊プッシュ通知が出続けるのは苊痛😱
最埌の砊は人間です




最高に嫌らしい攻撃だな
、、、人間の根負けっお、アナログな攻撃だな、、、
[B!] うひええ
心理をうたく突いおる手法
正面突砎しおいく発想は面癜い
前ぞ æ¬¡ãž
タむトルずURLをコピヌしたした