多要素認証(MFA)を導入していても、アカウント乗っ取りや不正ログインの被害が起きるケースは珍しくありません。
攻撃者は「IDとパスワードを奪う」だけでなく、プッシュ通知の承認を誤って押させたり、偽サイトでワンタイムコードまで中継して突破したりと、MFAの“運用の隙”を狙います。
本記事では、多要素認証攻撃の代表的な手口と成立条件を整理し、企業で実行しやすい対策の優先順位をわかりやすく解説します。
目次
多要素認証攻撃とは
多要素認証攻撃とは、多要素認証(MFA)を導入している環境に対して、認証の仕組みや運用上の隙を突き、ログイン突破や承認の誤操作を誘発して侵入を成立させる手口の総称です。
攻撃者は、盗まれたID・パスワードを起点に、プッシュ通知、ワンタイムコード、SMSなどの二段階目までを突破しようとします。
多要素認証(MFA)を狙う代表的な攻撃手口
多要素認証攻撃は「MFAが弱いから起きる」というより、利用している方式(プッシュ/SMS/コード)と運用(教育/例外経路/監視)の組み合わせによって成立しやすくなります。まずは典型パターンを把握し、自社のMFA方式と照らし合わせてください。
多要素認証疲労攻撃(MFA Fatigue / MFA Bombing)
攻撃者が事前にID・パスワードを入手したうえで、プッシュ通知の承認要求を短時間に大量送信し、利用者が誤って「承認」を押してしまう心理を突く手口です。夜間や業務が立て込む時間帯など、判断が雑になりやすい状況で成功率が上がります。
フィッシングによるMFAバイパス
正規サイトとそっくりの偽サイトに誘導し、ID・パスワードに加えてワンタイムコードやプッシュ承認までを“その場で”入力させます。攻撃者は裏側で本物のサイトに中継してログインを成立させ、セッション情報を奪って継続的に悪用することがあります。
SMSベースMFAの悪用(SIMスワップ等)
SMSコードに依存する場合、攻撃者が携帯キャリアへのなりすましや社会工学でSIM再発行を誘導したり、SMS転送設定を悪用したりして認証コードを奪うことがあります。SMSは利便性が高い一方で、攻撃対象になりやすい方式です。
実装不備・設計ミスを突く攻撃
二段階目を通る前にセッションが有効になっていたり、同じ要素(知識)を二回確認するだけの構成になっていたり、ワンタイムコードが再利用できたりする場合、MFAが“形だけ”になり突破されます。導入済みでも、認証フローのレビューとテストが欠かせません。
多要素認証攻撃は、ユーザーの操作ミス、フィッシング、認証例外経路など複数要因が絡むため、事象だけ見ても原因が断定できないことがあります。状況整理が不十分なまま例外設定を増やすと、再発の恐れが高まります。社内で判断が割れる場合は、ログと設定の事実を先に固めることが重要です。
多要素認証攻撃が成立しやすい前提条件
MFAがあっても突破される場面には、よくある共通点があります。自社に当てはまる条件が多いほど、優先的に運用と技術の両面を見直す必要があります。
- すでにID・パスワードが漏えいしている、または推測されやすい状態になっている
- プッシュ通知の意味や正しい判断基準が利用者に浸透していない
- 異常なMFA要求(回数、時間帯、地域)の検知と通報が仕組み化されていない
- MFAを通らない例外経路(レガシー認証、別アプリ、特定API)が残っている
多要素認証攻撃による被害とリスク
MFA突破は「ログインできた」だけで終わらず、権限昇格や横展開につながる起点になります。被害の見え方は環境により異なるため、影響を受けやすい領域を先に把握しておくと、対策の優先順位が付けやすくなります。
クラウド管理コンソールやID基盤の乗っ取り
Microsoft 365、Google Workspace、IDaaS、VPN、管理者アカウントなど「アイデンティティの中枢」が突破されると、メール、ファイル共有、権限付与、外部連携まで一気に波及します。
不正な設定変更と監査ログの無効化
攻撃者は痕跡を減らすために、監査ログ設定やアラート設定を変更したり、MFAポリシーを緩めたりすることがあります。気づいた時点でログが不足していると、事実確認が難しくなります。
機密情報の閲覧・持ち出しと二次被害
メールの自動転送ルール、クラウドストレージの共有設定変更、APIトークンの発行などを通じて、情報が外部へ持ち出される可能性があります。範囲を誤認すると再発防止策も外れやすくなります。
取引先・顧客へのなりすましと信用低下
乗っ取られたメールアカウントから不審メールが送られると、取引先被害や風評につながります。対外説明が必要な場合は、事実に基づく説明材料の整備が重要です。
認証基盤のログ、端末側の操作履歴、クラウド側の設定変更履歴は分散しており、単一の画面だけでは全体像が見えないことがあります。復旧や設定変更を急ぐと、証拠データ喪失につながり、原因の確定が遅れる可能性があります。
多要素認証攻撃への対処法と運用改善
対策は「ユーザー教育」だけでも「機能追加」だけでも不十分になりやすいため、運用と技術を同時に整えることが現実的です。ここでは、優先度が高い順に整理します。
プッシュ承認の設計を見直す(番号一致・コンテキスト表示)
「承認/拒否」だけのプッシュは誤操作が起きやすいため、番号一致(数字マッチ)や、場所・端末名・アプリ名などのコンテキスト表示を有効化し、判断材料を増やします。ユーザーが“違和感”に気づける設計が重要です。
- 利用中のMFA方式と通知画面の仕様を棚卸しします。
- 番号一致や位置情報表示など、利用可能な強化機能を有効化します。
- 例外設定や対象外ユーザーが発生しないかを確認し、適用範囲を決めます。
MFA疲労攻撃の抑止(回数制限・しきい値・自動ブロック)
短時間の連続要求は仕組みとして抑止し、一定回数を超えたら一時ブロック、パスワードリセット、SOC通知などを自動化します。人間の注意力に頼り切らない設計が有効です。
- 短時間のMFA要求回数と失敗回数のしきい値を決めます。
- しきい値超過時の動作(ブロック、強制リセット、通知先)を定義します。
- 例外が出る部門を想定し、段階導入でログを見ながら調整します。
フィッシング耐性MFAへ移行する(FIDO2等)
AiTMのような中継型フィッシングは、コードやプッシュ承認が盗まれる前提で組み立てられます。重要アカウントや管理系は、FIDO2セキュリティキーやデバイスに紐づく認証など、フィッシング耐性の高い方式へ寄せることが現実的です。
- 管理者、経理、ID基盤など高リスクアカウントを先に特定します。
- 対象者からFIDO2等へ移行し、プッシュを補助方式へ位置付けます。
- 運用手順(紛失時、端末更新時)を作り、ヘルプデスク対応を整えます。
例外経路とレガシー認証を潰す(抜け道の排除)
MFAを導入していても、Basic認証や古いプロトコル、特定APIなどが残っていると、そこが突破口になります。「MFAを通らないログイン経路」がないかを前提に、条件付きアクセスも含めて整理します。
- 認証経路を棚卸しし、MFA適用外の経路を洗い出します。
- レガシー認証を原則禁止し、例外が必要なら期限付きで管理します。
- 外部公開の管理画面やVPNなどは、アクセス条件(国、端末、リスク)を追加します。
検知・監視を運用に組み込む(ログ・アラート・通報)
MFA攻撃は「ログに出る」ことが多いため、検知ルールを作り、運用で回すことが重要です。単一ユーザーへの短時間大量要求、不自然な地域からの要求、失敗急増の後のMFA連打などを、アラートのトリガーとして整備します。
- 収集できるログ(IdP、SIEM、クラウド監査ログ)を整理します。
- 異常パターンの検知ルールを作り、通知先と初動手順を決めます。
- 利用者の通報窓口を周知し、通報とアラートを同じ運用に載せます。
ユーザー教育を“行動”まで落とす(承認しない・連絡する)
教育は「理解したつもり」で終わりやすいため、行動を固定します。ログイン操作をしていないのに通知が来たら承認しない、拒否して連絡する、必要ならパスワード変更と一時ロックまでを、社内の標準対応として決めます。
- 「身に覚えのない通知は承認しない」を社内ルールとして明文化します。
- 通報先(CSIRT、情シス)と一次対応(ロック、リセット)を決めます。
- 自社のMFA画面例で、正しい通知と怪しい通知を教材化します。
サイバーセキュリティの専門業者に相談する
多要素認証攻撃が疑われる状況では、認証ログ、端末の痕跡、クラウド側の設定変更が分散しているため、社内の確認だけでは全体像が見えにくいことがあります。復旧や設定変更を急ぐと、証拠となるデータが消失につながり、侵入経路や影響範囲の確定が遅れる可能性があります。
専門業者に依頼することで、認証の突破点、横展開の有無、持ち出しの可能性を事実に基づいて整理し、再発防止の施策を「どこから」「どの順で」実装するべきかまで落とし込みやすくなります。対外説明が必要な場合でも、根拠を揃えた説明材料を作りやすくなります。
私たちデジタルデータフォレンジックは、官公庁対応経験を含む幅広いインシデントに対応しており、状況のヒアリングから初期診断・お見積りまで24時間365日体制でご案内しています。
多要素認証攻撃のフォレンジック調査ならDDF
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数47,431件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
