SIMスワップ、プッシュボミング、 SS7プロトコルの脆弱性 ~ 米CISAがフィッシング耐性MFA実装ガイダンスを公開 | ScanNetSecurity
2024.05.29(水)

SIMスワップ、プッシュボミング、 SS7プロトコルの脆弱性 ~ 米CISAがフィッシング耐性MFA実装ガイダンスを公開

 米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は10月31日、フィッシング対策と番号照合による多要素認証のガイダンスを発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は10月31日、フィッシング対策と番号照合による多要素認証のガイダンスを発表した。

 CISAでは、フィッシングやその他の既知のサイバー脅威から保護するために、フィッシング耐性の導入を強く推奨しているが、モバイルプッシュ通知ベースのMFAを使用している組織でフィッシング耐性を実装できない場合は、MFAアプリケーションにおける番号照合の使用を推奨している。番号照合はフィッシング耐性MFAほど強力ではないが、フィッシング耐性MFAをすぐに導入できない組織にとって、暫定的な緩和策として最適な方法としている。

 MFAは、サイバー脅威者が漏えいした認証情報を使用してネットワークにアクセスし、悪意ある活動を行うという脅威の低減に不可欠な手法だが、すべての形式のMFAが安全であるとは限らず、一部の形式は、フィッシング、ユーザが「Accept」を押すまでプッシュ通知でユーザを混乱させるプッシュボミング、Signaling System 7(SS7)プロトコルの脆弱性の悪用、SIMスワップなどに脆弱な場合がある。

 CISAが公開したファクトシートでは、MFAを使用するアカウントやシステムへの脅威の概要を説明し、フィッシング耐性MFAを実装するためのガイダンスを提供している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

    半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

  2. SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

    SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

  3. 社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

    社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

  4. 岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

    岡山県精神科医療センターにランサムウェア攻撃、電子カルテのシステムで不具合

  5. セキュリティ企業ホラ吹きCEOバカ一代記

    セキュリティ企業ホラ吹きCEOバカ一代記

  6. バッファロー製 Wi-Fi ルータ WSR-1166DHP シリーズのボット感染を確認、複雑なパスワードへの変更を呼びかけ

    バッファロー製 Wi-Fi ルータ WSR-1166DHP シリーズのボット感染を確認、複雑なパスワードへの変更を呼びかけ

  7. 「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

    「mixi」に不正ログイン、個人データが第三者に漏えいしたおそれ

  8. 日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

    日経225企業 9割 DMARC導入も「quarantine」「reject」設定は 26.8%、ワンクリック購読解除利用率は 77.7%

  9. 北洲のサーバに不正アクセス、攻撃者が一部ファイルを開いた可能性を確認

    北洲のサーバに不正アクセス、攻撃者が一部ファイルを開いた可能性を確認

  10. 自工会と部工会のサイバーセキュリティガイドライン2.1版に対応した「コーポレートセキュリティメニュー」提供

    自工会と部工会のサイバーセキュリティガイドライン2.1版に対応した「コーポレートセキュリティメニュー」提供

ランキングをもっと見る