SIMスワップ、プッシュボミング、 SS7プロトコルの脆弱性 ~ 米CISAがフィッシング耐性MFA実装ガイダンスを公開 | ScanNetSecurity
2026.07.03(金)

SIMスワップ、プッシュボミング、 SS7プロトコルの脆弱性 ~ 米CISAがフィッシング耐性MFA実装ガイダンスを公開

 米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は10月31日、フィッシング対策と番号照合による多要素認証のガイダンスを発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は10月31日、フィッシング対策と番号照合による多要素認証のガイダンスを発表した。

 CISAでは、フィッシングやその他の既知のサイバー脅威から保護するために、フィッシング耐性の導入を強く推奨しているが、モバイルプッシュ通知ベースのMFAを使用している組織でフィッシング耐性を実装できない場合は、MFAアプリケーションにおける番号照合の使用を推奨している。番号照合はフィッシング耐性MFAほど強力ではないが、フィッシング耐性MFAをすぐに導入できない組織にとって、暫定的な緩和策として最適な方法としている。

 MFAは、サイバー脅威者が漏えいした認証情報を使用してネットワークにアクセスし、悪意ある活動を行うという脅威の低減に不可欠な手法だが、すべての形式のMFAが安全であるとは限らず、一部の形式は、フィッシング、ユーザが「Accept」を押すまでプッシュ通知でユーザを混乱させるプッシュボミング、Signaling System 7(SS7)プロトコルの脆弱性の悪用、SIMスワップなどに脆弱な場合がある。

 CISAが公開したファクトシートでは、MFAを使用するアカウントやシステムへの脅威の概要を説明し、フィッシング耐性MFAを実装するためのガイダンスを提供している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  2. メール配信システム「める配くん」の一部サーバに不正アクセス、情報漏えいと考えられる痕跡を確認

    メール配信システム「める配くん」の一部サーバに不正アクセス、情報漏えいと考えられる痕跡を確認

  3. 何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

    何が変わった?「政府機関等の対策基準策定のためのガイドライン(令和 7 年度版)」一部改定

  4. 個人情報部分を非表示処理にとどめた状態を削除済みと誤認 ~ 川越商工会議所で会員データを外部に送信

    個人情報部分を非表示処理にとどめた状態を削除済みと誤認 ~ 川越商工会議所で会員データを外部に送信

  5. 「女の転職 type」にリスト型アカウントハッキング、フォレンジック調査と社内調査に内容の相違なし

    「女の転職 type」にリスト型アカウントハッキング、フォレンジック調査と社内調査に内容の相違なし

ランキングをもっと見る
PageTop