多要素認証消耗攻撃とは【用語集詳細】
多要素認証消耗攻撃(MFA Fatigue Attack)は、多要素認証の仕組みを突破するサイバー攻撃です。別名「プッシュ爆撃(Push Bombing)」とも呼ばれています。
多要素認証は従来のパスワード方式に加え追加の認証要素を要求するものであり、一般的によりセキュアであると考えられています。この攻撃は、人間のミスやエラーを狙ったソーシャルエンジニアリングを応用するものです。
多要素認証消耗攻撃は、スマートフォンに対するプッシュ通知を悪用し、ユーザーに不正アクセスを承認させます。
多要素認証においては、パスワードを使ってアプリケーションやソフトウェアにログインする際、本人の所有するスマートフォンにプッシュ通知を行い、当該ログインを承認していいかどうかを要求します。
攻撃者は、プッシュ通知を立て続けに送信してユーザーの誤操作を引き起こしたり、システム上のエラーと錯覚させることで、不正なログインを承認させます。
この攻撃は2022年に多数の被害を発生させており、CISAは「耐フィッシング多要素認証」としてFIDO/WebAuthn認証などのFIDO2フレームワークに基づいたメカニズムを連邦政府機関および米国民間セクターに推奨しています。
