CISA、多要素認証に SMS を使用しないよう要請

サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) は、多要素認証 (MFA) をショート メッセージ サービス (SMS) に依存するリスクについてユーザーに警告する包括的な勧告を発表しました。

この推奨事項は、CISA の新しい「モバイル通信ベスト プラクティス ガイダンス」。これは、特に高度なサイバー攻撃の標的となった個人に対するモバイル通信のセキュリティを強化することを目的としています。

2024 年 12 月 18 日にリリースされたこの勧告は、特に機密通信を標的とする国家支援の攻撃者によるサイバー脅威が増大する中で発表されました。

「SMS MFA はフィッシング耐性がないため、高度にターゲットを絞ったアカウントに対する強力な認証ではありません」

関連: Microsoft MFA の重大な抜け穴により数百万のユーザー アカウントが公開

SMS MFA が脆弱な理由

SMS ベースの MFA は、オンライン アカウントを保護するための選択肢として長い間人気がありました。シンプルさと広範な採用。ただし、CISA は、SMS MFA が現代のサイバーセキュリティの課題に対して不十分である 2 つの主要な脆弱性を特定しました。

まず、SMS メッセージは平文で送信されるため、電気通信ネットワークにアクセスした攻撃者によって傍受されやすくなります。第 2 に、SMS MFA にはフィッシング耐性がありません。つまり、攻撃者は簡単にユーザーをだまして、詐欺的なメッセージや Web サイトを通じて認証コードを共有させることができます。

関連: AWS、サイバー急増の中でインシデント対応サービスをデビュー脅威

これらの脆弱性は、国家支援の攻撃者、特に中国に関連する攻撃者によって悪用されています。このような攻撃者は、通信インフラを標的にして SMS メッセージを傍受し、機密性の高いアカウントを侵害しています。

CISA は勧告の中で、政府関係者や重要インフラ担当者などのリスクの高い個人が、このような形態の攻撃に対して特に脆弱であると警告しています。

フィッシング耐性のある認証

これらのリスクに対処するために、CISA は、 に重点を置き、フィッシング耐性のある MFA 方式に移行することを推奨しています。 href=”https://en.wikipedia.org/wiki/FIDO_Alliance”>FIDO 認証。 FIDO プロトコルは暗号キーを利用して、安全でないネットワーク上で機密データを送信せずにユーザーを認証します。

Yubico や Google Titan などのハードウェア ベースのセキュリティ キーは、最も堅牢なものとして強調表示されます。

ガイダンスでは「FIDO ベースの認証に登録したら、安全性の低い他の形式の MFA を無効にしてください」とされています。これにより、SMS などのフォールバック オプションが悪用可能な脆弱性を誤って作成することがなくなります。

関連: Microsoft が Windows 11 WebAuthn API を更新してサードパーティのパスキーを有効にする

モバイル セキュリティに関する広範な推奨事項

SMS MFA に対するアドバイスに加えて、CISA のガイダンスでは、さまざまな最善の推奨事項が提供されています。モバイル通信を保護するための実践には、Signal などのエンドツーエンド暗号化メッセージング プラットフォームの採用が含まれ、通信のプライバシーと保護を確保します。

多くの場合、アップデートが含まれるため、デバイス ソフトウェアを定期的に更新することも重要です。既知の脆弱性に対するパッチ。 CISA はさらに、パスワード マネージャーを使用して固有のパスワードを生成し、安全に保存することを推奨しています。これにより、脆弱な認証情報や再利用された認証情報によるアカウント侵害のリスクが軽減されます。

この勧告では、個人の仮想プライベート ネットワーク (VPN) の使用についても警告しています。 、脆弱性をインターネットサービスプロバイダーからVPNプロバイダーに移すことができると述べています。代わりに、VPN アクセスが必要な場合は、エンタープライズ グレードのソリューションを使用することが組織に推奨されます。

関連: AI 主導のマルウェア: 偽のアプリと CAPTCHA が Windows および macOS ユーザーをターゲットにする方法

p>