多要素認証も変化あるかな？

この頃、セキュリティ界隈で

結局セキュリティホールは人間。うんざりを狙うのもソーシャル・エンジニアリングなのかな？

なるほどなー |

通知のせいで何も出来ん状態なので、ある意味で飽和DoSだよね。

はー。

非常に厄介。知らなければうっかり承認してしまいそう。当たり前ですがパスワードは使いまわさないこと。日々の自己防衛が大事。

スマホ切ったり集中モードにしたらいいのに。

逆に考えると、多要素認証は有効だったといえる
人間がどこかしらに挟まれないと相手側だけでは突破出来なかったという事
ならば短時間での認証確認回数制限等対策はできる

ある種のソーシャルハックだ

力業ソーシャルハック具合は好き

大量に多要素認証を送らせるだけじゃなくてその後に社内IT担当者を装って認証承認させるように促してるのね。

これ、実際にされたら防ぎきる自信はないな…

なるほどねぇ。

うちのお客さん、2段階認証すらギャーギャー言ってくる人多いのに、こんなの喰らったら発狂するで。

攻撃相手に拒否できない地獄のプッシュ通知という発想力の良さよ

これセキュリティキー使えば大丈夫なのかな

“多要素認証疲れ”は、疲れさせられる(異常な回数の認証要求が繰り返される)ことと、攻撃者がターゲットに直接連絡できるの2点が大きい。

が、飲酒/睡眠などで意識が清明でない状態を狙われると厳しい。

ちょっと前に明らかにおかしな時間帯で認証要求何度も来たことあったがこれの類いだったんかね、全無視で正解だったか -

なるほど。

やはり人間が一番の弱点

多要素認証疲れ…。

つらぁ…

こんな攻撃あるのかー

うわ、なんだこの手口!!
地味につらいな

"MFA Fatigueの手口ではこれを逆手に取り、故意にログイン試行を繰り返すことで確認通知を何度も執拗（しつよう）に受信させ、相手を疲れ果てさせて承認に追い込む Uberを狙った手口 1時間以上プッシュ通知を送付"

見てる: "

この状況を許容する時点でアレである

>従業員には1時間以上にわたり、ログインを承認するかどうか確認するプッシュ通知が大量に送信

急増する「多要素認証疲れ」攻撃 対策は？

> 従業員が寝ようとしている午前1時に100回電話をかければ、大抵は受け入れる。

大量に来た後に従業員になりすまして連絡来たら疑えないな...。

空前の大量プッシュ通知認証根負けブーム

なるほど。

> 不具合と勘違いしたり、他の正規の認証リクエストと勘違いしたりすることもある "

やはり人間が最大のセキュリティーリスク……むしろそこまで連打できる認証仕様の方が問題とも言えます。

この手口最近見おぼえがある気が…

結局の脆弱性は人間なのか…

＞攻撃側が「人間」の弱さを突いて、その対策をかいくぐる手口を見つけ出している

力技すぎて笑うけどこれやられたら負けそう

こういうのって一定回数以上でロックとかかからないものなのね。

> 大量の通知に疲れ果てていた従業員はログインを承認し、不正アクセスを許してしまったという。

津波注意報で緊急速報メールを送信し続ける神奈川県手法か。

この攻撃方法はエグい

これはツラい……( ꒪⌓︎꒪)

寝ようとしてるときにしつこく攻撃されたら根負けしちゃう。って理屈は日本人じゃ考えられないなｗ

人間の弱さはどうしようもないからね しょうがないね

エグい…

> 従業員が寝ようとしている午前1時に100回電話をかければ、大抵は受け入れる
キツい

なるほど、疲れている時に大量の情報で捲し上げてサインさせる奴だ

勉強になった

SMS認証や電話認証の欠点だね。TOTPならアカウントの持ち主には負担がかからない。6桁ぐらいしかないのでランダムに突破される危険性はあるけど。

怖すぎでしょ

物理セキュリティキーなら防げるので、もっといろんなところで、FIDO2やFIDO U2Fがもっといろんなサイトで使えるようになってほしいです

パワー系が過ぎる

最後の承認部分が人間が行うからこうなるのか（´(ｪ)｀）

"従業員が寝ようとしている午前1時に100回電話をかければ、大抵は受け入れる" なるほど

すごい。

大量のメール自体は正規のアドレスから送られてくるし、このサイバー攻撃は確かに引っかかる人居そう。
メールの文面的には承認はあり得ないけれども……。

対策がパスワードを大切に、で本末転倒感。連続した認証リクエストは止めるとか必要よね |

いやーこの攻撃はすごいわ。でもプッシュ通知が行くってことは、パスワードは漏えいしてるんだよね。それに気づいてパスワードを変えればいいだけの話だと思うんだけれどどうなんだろう。

だからパスワードを強化するのが基本だと云々

MFAが飛んでくる時点でパスワード漏れてるんだからパスワード変更しろってことではないのかな？

多要素ログインばかりでそもそも面倒な中、さらに通知が来まくるとか、、、

>「MFA Fatigue（多要素認証疲れ）」攻撃

邪悪すぎる……

・そういう要請は無視する
・乗っ取られたと思われる従業員に確認を取る
・乗っ取りが確認されたらユーザ名とパスワードを変更

これぐらいのことが何故できない？

一種の拷問・脅迫の類か…こわ…／

くらったらつらい攻撃だ……｜

「従業員が寝ようとしている午前1時に100回電話をかければ、大抵は受け入れる
そりゃそうなるわ……俺もなるわ……気をつけよ……

多要素認証疲れ攻撃Σ(ﾟДﾟ)

システムでもっとも脆弱な箇所はニンゲンさまってことね（メールでの釣りなんかもしかり）

"攻撃者はスクリプトを使うなどしてログイン試行を何度でも繰り返すことができる。一方、大量の通知を受信し続けるユーザーは、その量の多さに圧倒され、疲れ果て、何とか通知を止めたいと思う。"

はー＞故意にログイン試行を繰り返すことで確認通知を何度も執拗（しつよう）に受信させ、相手を疲れ果てさせて承認に追い込む

ヤバい

なるほど。悪いこと考えるヤツに感心してしまうな。

"各社とも多要素認証で従業員のアカウントを保護していたが、攻撃者はプッシュ通知を大量に送る“多要素認証疲れ”を手口に利用していた"

そもそもがパスワード盗まれてしまった第一関門が弱い。

こんな手法よく思い付くな、人の心無いんか😅

そう来たか💦

この記事書いてる人って本当に認証が、どういったものかを理解しているの？