不注意が招いたロシアのサイバー攻撃成功
ウクライナでの戦争は、全世界に厳戒態勢を敷いている。侵略者であるロシアは、ウクライナだけでなく、侵略された国を助けようとする同調国にも敵意を広げているからだ。当然のことながら、伝統的なライバルであり、著名な同調者でもあるアメリカがその筆頭に挙げられている。しかし、その敵意は直接的な攻撃ではなく、サイバー戦争という形でもたらされる。
米国のさまざまな機関や企業が現在経験しているような持続的な自動デジタル侵入が起こる以前から、ロシアはすでに国家が支援するエージェントを使ってテストを行っていた。そして少なくとも一度、人間の過失が多要素認証の安全装置を迂回する代替ルートを提供した。
脆弱性の悪用
2021年5月、ある非政府組織は、多要素認証プロトコルを導入していたにもかかわらず、システムへの侵入を迅速かつ成功裏に経験した。国家に支援されたロシアのハッカーは、ネットワーク上のコンピュータ間で印刷ジョブを調整する印刷スプーラ・ソフトウェアのセキュリティ・ホールである「PrintNightmare」として知られる文書化された脆弱性を悪用した。
PrintNightmareの脆弱性が悪用されると、ハッカーは制御を広げ、ネットワーク内のシステム特権を得ることができた。一旦内部に侵入すると、彼らは多要素認証セーフガードを無効にし、レジストリを編集し、自由にディレクトリを閲覧することができた。
経緯
この場合、真のMFAが導入されていれば、国家に支援されたハッカーがシステムにアクセスすることを防げただろう。残念なことに、ハッカーたちはまだ古いシステムを利用していた。侵入は、ハッカーたちが、登録はされているがアクティブでないアカウントを発見し、そのアカウントがまだデフォルトに設定されたパスワード・システムを使用していたことから起こった。
伝統的な「総当たり」手法を使って消去法でデフォルト・パスワードを割り出すことで、ハッカーたちは最終的に、はるかに強力な多要素認証システムに遭遇することなくシステムにアクセスできるようになった。非アクティブだがまだ有効なユーザー・アカウントというこの「バックドア」を使うことで、彼らはMFAシステム内に自分自身を登録し、それを基盤としてシステムの残りの部分に移動し、PrintNightmareの脆弱性を見つけ、それを悪用してネットワーク機能を掌握することができた。
注意事項
システム内の脆弱性の悪用は、もっと注意深くすれば決して起きなかっただろう。デフォルトのパスワードのまま非アクティブなアカウントを有効なままにしておくことは、はるかに強力な多要素認証システムをバイパスするための重大な抜け穴となる。
より安全なシステムのために、常に警戒を怠らないこと。MFAセーフガードに切り替える際には、より脆弱な古いパスワードアカウントとシステムを無効にすること。チェーンは最も弱いリンクと同じ強さしかない。
FIDOプロトコルの使用やパスワードレス認証システムへの移行に興味がある方は、こちらをお読みください。