多要素認証(以下、MFA)は、ID・パスワードだけに頼らず、セキュリティを強化する手段として、企業や官公庁、教育機関などで広く利用されています。
しかし近年、このMFAをすり抜ける「多要素認証疲労攻撃(MFA Fatigue Attack)」という新たな手口が登場していることをご存知ですか?
本記事では、この攻撃の仕組みと対策、そして狙われにくいMFAの選び方まで、わかりやすく解説します。
そもそも《多要素認証疲労攻撃》とは?
この攻撃は、あらかじめ不正に入手したID・パスワードを用いて、正規ユーザーに何度も認証リクエスト(プッシュ通知など)を送りつけることで、誤ってログインを許可させようとする攻撃手法です。
《たとえば…》
ある平日の夕方、営業部の田中さんのスマートフォンに、
「〇〇システムにログインしようとしています。許可しますか?」
という通知が届きました。
覚えのない通知だったため、初めはスルーしていたものの、1分おきに同じ通知が何度も…。
ついに田中さんは、「もう面倒くさいな…。なにかシステムの誤作動かも。」と思い、軽い気持ちでスマートフォンに表示された「承認」をタップしてしまいました。
これが、多要素認証疲労攻撃の典型例です。
許可を押したその瞬間、攻撃者は社内システムへのログインに成功し、田中さんのアカウントを使って、不正に社内情報へアクセスすることができてしまいます。
なぜこんな攻撃が成立してしまうのか?
先ほどの例を見て、「いやいや、こんなの引っかからないでしょう」と思った方もいるかもしれません。
ですが、普段パソコンやスマートフォンを使っていて、よく分からない表示が出たときに、「とりあえず押しちゃえ」と済ませた経験、ありませんか?
攻撃者は、まさにそんな隙を突いてきます。
実際に、国内外の大手企業でも、この手法による不正アクセス被害が報告されています。
また、多要素認証疲労攻撃が成立してしまう背景として、多くのMFAに共通する以下の構造的な弱点が関係しています。
【多要素認証の弱点】
認証要求を何度でも送れる仕組みになっている ⇒ 攻撃者が何度も攻撃を仕掛けられる状態
プッシュ通知型の多要素認証は、ワンタップで認証が通ってしまう
⇓
誤操作や誤認を誘発しやすい
つまり、「MFAを導入しているから安全」という思い込みが、逆に狙われる弱点になってしまっているのです。
どのような対策が効果的なのか?
多要素認証疲労攻撃を防ぐためには、認証方式の構造そのものを見直すことが大切です。
特に重要なのは、次の2点です。
ユーザーが誤って認証してしまうリスクを限りなく減らすこと
攻撃者がそもそも介入できない仕組みを取り入れること
つまり、通知に頼る従来型の方式から、「うっかり」も「すり抜け」も起こらない新しい認証のかたちへ移行することが必要です。
以下に、具体的な対策と、それぞれに適した技術構成をご紹介します。
《有効な対策》
| 対策項目 | 内容 | 推奨される技術構成 |
|---|---|---|
| 1. 認証リクエストの制限・監視 | 同一ユーザーへの連続した認証要求を制限し、異常な頻度のリクエストを自動検知・遮断 | リスクベース認証(RBA)、SIEM/SOARと連携可能な認証基盤 |
| 2. プッシュ通知依存からの脱却 | ワンタイムパスワードや生体認証など「本人の意思で操作を行う」仕組みを採用 | OTP(ワンタイムパスワード)、FIDO2対応生体認証、PIN入力型、非通知型MFA |
| 3. 認証設計そのものの見直し | 攻撃者がリクエストを送り込めない構造を採用し、「入力盗聴」や「通知連打」を無効化 | パスワードレス認証、視覚認証、証明書ベース認証 |
多要素認証疲労攻撃に強い PassLogic(パスロジック)のログインプロテクト とは?
PassLogic(パスロジック)は、IDや固定パスワードを使わない日本発のパスワードレス認証の基盤技術として、多くの企業・自治体・医療・教育機関などで導入されています。
さらに、このPassLogicの仕組みを活用し、クラウドサービスや既存のWebシステムにさらにセキュアな認証を追加できるのが、専用モバイルアプリPassLogic Authenticatorの「ログインプロテクト」機能です。
このログインプロテクトは、プッシュ通知に依存しない非通知型の認証方式を採用しているので、多要素認証疲労攻撃のような「通知を送りつけてユーザーの判断ミスを誘う攻撃」を、そもそも成立させない構造を実現しています。
\多要素認証について、さらに詳しく知りたい方はこちらから!/
ログインプロテクト|PassLogic -パスロジック-
【PassLogic × ログインプロテクトで実現できること】
| 特長 | 内容 | 効果 |
|---|---|---|
| 1. パスワードレスの多要素認証 | IDや固定パスワードを入力しない設計。認証情報は暗号化され、再現不可能。 | 認証情報が漏洩しても、攻撃者はログインできない |
| 2. プッシュ通知型を使わない設計 | 通知ではなく、ユーザーが自身で操作して認証を完了する仕組み。 | 「うっかり承認」が起きず、 攻撃者が大量の通知を送りつける手段がそもそも通用しない。 |
| 3. 不正リクエストの遮断機能 | 異常な操作はシステムが自動検知・ブロック。 | ユーザーによるログインプロテクトの解除操作がない限り、認証処理は常に遮断。人的ミスに左右されない堅牢なセキュリティを実現。 |
PassLogicとログインプロテクトは、単なる認証手段ではなく、「人の判断ミスに依存しない」「攻撃者に入り込ませない」構造そのもので、多要素認証疲労攻撃を根本から防ぐことができます。
まとめ
多要素認証疲労攻撃は、今後ますます巧妙化していくと予測されています。
「通知が来たから、何気なく押してしまった――」
そんな一瞬の判断が、深刻な被害に直結しかねない時代です。
PassLogicのログインプロテクトは、視覚的ロジックや証明書を活用し、通知や入力に依存しない仕組みで、多要素認証疲労攻撃の成立を根本から防ぎます。
「セキュリティも、使いやすさも大切にしたい」
そんな方は、ぜひ一度、下記URLから詳細をチェックしてみてください。
\詳しくはこちら/
PassLogicの多要素認証 PassLogicについて覗いてみる
ログインプロテクト ログインプロテクトについて覗いてみる
この記事を書いた人:
パスロジ株式会社 マーケティングチーム
〒101-0051 東京都千代田区神田神保町1-6-1 タキイ東京ビル7F
お問い合わせ https://passlogic.jp/inquiry/