SIMスワップ、プッシュボミング、 SS7プロトコルの脆弱性 ～ 米CISAがフィッシング耐性MFA実装ガイダンスを公開

　米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は10月31日、フィッシング対策と番号照合による多要素認証のガイダンスを発表した。

　CISAでは、フィッシングやその他の既知のサイバー脅威から保護するために、フィッシング耐性の導入を強く推奨しているが、モバイルプッシュ通知ベースのMFAを使用している組織でフィッシング耐性を実装できない場合は、MFAアプリケーションにおける番号照合の使用を推奨している。番号照合はフィッシング耐性MFAほど強力ではないが、フィッシング耐性MFAをすぐに導入できない組織にとって、暫定的な緩和策として最適な方法としている。

　MFAは、サイバー脅威者が漏えいした認証情報を使用してネットワークにアクセスし、悪意ある活動を行うという脅威の低減に不可欠な手法だが、すべての形式のMFAが安全であるとは限らず、一部の形式は、フィッシング、ユーザが「Accept」を押すまでプッシュ通知でユーザを混乱させるプッシュボミング、Signaling System 7（SS7）プロトコルの脆弱性の悪用、SIMスワップなどに脆弱な場合がある。

　CISAが公開したファクトシートでは、MFAを使用するアカウントやシステムへの脅威の概要を説明し、フィッシング耐性MFAを実装するためのガイダンスを提供している。