Cybersecurity Management News

サイバー空間における脅威を適切に管理するために必要なCybersecurity Managementの確立に役立つ管理策・規制・組織・運用などに関する情報を提供します。

多要素認証は認証情報窃取の脅威を低減しない

マイクロソフト社より「Advanced Threat Analytics プレイブック(Advanced Threat Analytics 攻撃シミュレーション プレイブック)」 が2017年4月3日付で公開されました。これは、2017年2月23 日(米国時間)に公開されたMicrosoft Advanced Threat Analytics Team のブログ “How to simulate and detect attacks with the Advanced Threat Analytics Playbook” の翻訳です。

blogs.technet.microsoft.com

この文書では、標的型サイバー攻撃や内部脅威を検出するためのツールとしてマイクロソフト社より提供されているAdvanced Threat Analytics (ATA)により検出が可能な攻撃のシナリオとその再現方法が記述されていますが、この中に下記の記述があります。

この問題[資格情報の盗難:引用者注]を解決するために、多要素認証やスマートカード、特権ユーザー管理ツールが販売されています。これら のツールは確かに環境の運用の手助けをしますが、これらソリューションが資格情報の盗難そのものを緩和したり可 視化したりすることはありません。それどころか、これらのソリューションの導入により資格情報の盗難問題をさ らに悪化させると同時に、保護されているという錯覚を起こす可能性があります。(太字引用者)

多要素認証やスマートカードの利用が認証情報摂取の脅威の低減に役立たないことについては、Pass the Hashよりダウンロードできる「Mitigating Pass-the-Hash and Other Credential Theft v1」に下記の記述があります。

Multifactor authentication methods, such as smartcards, can greatly enhance the strength of the proof of the user’s identity if the host is secure, but these methods do not provide immunity from credential theft attacks. While multiple factors are required for initial logon, the Windows operating system communicates with other domain computers using standard Kerberos and NTLM authentication protocols that exchange
single factor authenticators, as required by the protocol standards when accessing network resources. When a computer in the domain is compromised and a user logs on to it with multifactor authentication, these single-factor secondary authenticators may be stolen from LSASS process memory, and reused in exactly the same way as the user logged on with a password.
(太字引用者)

攻撃者によって既に侵害されているコンピュータ上で多要素認証を利用してドメインにログオンしようとした場合、単一要素認証でパスワードを用いてログオンしようとした場合と同様に、LSASSプロセス・メモリーから認証情報が摂取されてしまうと書かれています。

それでは、スマートカードを用いることのメリットは何でしょうか。「なぜ、強い会社はICカードを活用しているのか?―サイバーセキュリティ対策に役立つ理由」では、スマートカードを利用することのメリットについて以下の7つをあげています。

  1. 一元管理が徹底できる
  2. 本人確認が強化される
  3. 入口対策・出口対策ではない領域の対策が強化できる
  4. 標準技術を使うメリット
  5. 例外を許さない仕組み作り
  6. シングルサインオンのリスクへ備えること
  7. クラウドへの応用がしやすい

スマートカードを利用した多要素認証により、ユーザアカウント管理などの運用の強化や、単純にパスワードが漏洩することを想定した脅威の低減などのメリットを享受することはできますが、Pass-the-Hashなどの認証情報摂取を狙った攻撃手法には別の対策が必要になります。なお、Pass-the Hashに有効な対策については、前述のPass the Hashよりダウンロードできる「Mitigating Pass-the-Hash and Other Credential Theft v2」内にApplicability summary for mitigations表としてまとめられており、参考になります。