「MFAを入れたから安心」では済まなくなった

多要素認証(MFA)はパスワード漏えいに対する最重要の防御です。しかし2022〜2025年にかけて、MFA自体を回避する攻撃手法が多数報告されています。代表例がMFA疲労攻撃(MFA Fatigue / MFA Bombing)です。Uber、Microsoft、Cisco などの大規模インシデントで実際に成功し、日本国内の中小企業でも被害が拡大しています。

MFA疲労攻撃の手口

  1. パスワード入手:攻撃者がフィッシング・情報漏えい・パスワードリスト攻撃でパスワードを入手
  2. MFA要求の連射:攻撃者が短時間に何十回〜何百回もサインインを試行
  3. 承認プッシュ通知の連続送信:被害者のスマホに「承認しますか?」のプッシュが連続で届く
  4. ユーザーの誤承認:「うざい」「何かのバグかもしれない」「とりあえず承認して止めよう」と、被害者が誤って承認
  5. 侵入成功:攻撃者がアカウントへのアクセスに成功、メール・SaaS・社内システムへ侵入
⚠️ 「夜中の3時の通知」が最も危険

深夜に通知が連射される手口が増えています。寝ぼけて承認してしまう、家族のスマホ操作と勘違いする、業務外のIT対応として無意識に承認する、といった人間の判断力低下を狙った攻撃です。

なぜプッシュ通知MFAは突破されやすいか

従来のプッシュ通知型MFA(「承認」「拒否」のみ)は、以下の弱点を持ちます。

  • 承認/拒否の2択で判断ストレスが低い
  • ボタン押下のみで通知の文脈を確認しない
  • 正常時と攻撃時の通知が見分けられない
  • 連続通知時に「とりあえず通知を止めたい」心理が働く

防御策1:数値マッチング(Number Matching)の必須化

MFA疲労攻撃の最も効果的な防御策が数値マッチングです。サインイン画面に2桁の数字が表示され、ユーザーはMicrosoft Authenticatorアプリで同じ数字を入力する必要があります。「うざいから承認」では突破できません。

Entra IDでの設定手順

  1. Entra ID 管理センターを開く
  2. 保護 > 認証方法 > Microsoft Authenticator
  3. 「有効化」ON、対象を「すべてのユーザー」に
  4. 構成 > 認証モード「Push」、Number matching「Enabled」
  5. 「位置情報を表示」「アプリ名を表示」を ON
  6. 変更を保存
💡 2023年以降のEntra IDでは既定で有効

2023年5月以降に設定した新規テナントでは数値マッチングが既定で有効です。古いテナント(数年前から運用)では明示的に有効化する必要があります。設定確認は今すぐ実施してください。

防御策2:Authenticatorのコンテキスト表示

承認画面に「サインイン元のアプリ名」「位置情報(おおよその国・都市)」を表示する設定を有効化します。これにより、攻撃時に「海外からのサインイン」「身に覚えのないアプリ」が見えるため、ユーザーが拒否する判断材料を得られます。

防御策3:条件付きアクセスで攻撃シナリオを遮断

MFA要求自体を発生させない条件付きアクセスポリシーを組み合わせます。

ポリシー効果
未管理デバイスからのアクセス禁止攻撃者の端末からはMFAまで到達しない
海外IPからのアクセス禁止大半の攻撃元(東欧・北朝鮮等)を遮断
サインインリスクベース不審IP・匿名Tor等は即座にブロック
ユーザーリスクベースパスワード漏えい疑いユーザーは強制リセット
レガシー認証ブロックPOP3/IMAP/SMTP(MFA不可)からの侵入を遮断

これらは Microsoft 365 Business Premium 以上で利用可能です。E3+Entra ID P2なら、サインインリスクベースアクセスがリアルタイムで動作します。

防御策4:プッシュ承認に代わる手段の併用

そもそもプッシュ承認以外の手段を併用することも有効です。

  • FIDO2セキュリティキー(YubiKey等):物理キーを差し込まない限り認証不可。最強
  • Windows Hello / Touch ID:プラットフォーム認証。デバイス紛失リスクのみ
  • パスキー(Passkeys):パスワード自体を廃止する次世代認証。2025年以降の本命
  • OATH トークン(TOTP):6桁の時間ベースワンタイムパスワード。プッシュより手間だが疲労攻撃には強い

防御策5:ユーザー教育と即時報告フロー

技術対策だけでなく、ユーザー教育も並行します。

  • 不審な通知が届いたら拒否+即時報告:拒否ボタンと「報告」ボタンを区別して運用
  • 「自分が今、サインインしようとしているか」を必ず確認:通知が来た瞬間にこの問いを立てる習慣
  • 連続通知が来た場合の連絡先:情シスの緊急連絡先を周知
  • パスワード漏えい時のリセット手順:自分でリセットする方法と連絡先

疲労攻撃を受けた場合の初動

「身に覚えのない通知が連続で届いた」と社員から報告を受けた場合の対応です。

  1. 当該ユーザーのパスワードを即時リセット(管理者から強制)
  2. サインインセッションを全て無効化(Entra ID > ユーザー > サインインのリセット)
  3. 過去1時間のサインインログを確認:成功した不審サインインがないか
  4. ユーザーのMFA再登録:Authenticatorアプリの再設定
  5. 横展開の確認:当該ユーザーから他社員へのフィッシング送信、SaaS設定変更がないか
  6. 影響範囲のレポート:経営層への報告、サイバー保険会社への第一報判断

中小企業向けMFA強化チェックリスト

  • ☐ Microsoft Authenticator 数値マッチング有効化
  • ☐ Authenticator コンテキスト表示有効化
  • ☐ レガシー認証(POP3/IMAP/SMTP)遮断
  • ☐ 条件付きアクセスで未管理デバイス制御
  • ☐ 管理者には FIDO2 セキュリティキー必須
  • ☐ サインインリスクベース(Entra ID P2契約時)
  • ☐ 不審通知時の即時報告ルートの周知
  • ☐ 過去6ヶ月で MFA回避サインイン疑いを月次でレビュー

BTNコンサルティングの支援

「MFAは入れたが疲労攻撃の対策ができていない」「FIDO2キーを導入したいが運用が分からない」「条件付きアクセスの設計を見直したい」といった相談を多く受けています。情シス365のセキュリティパックではEntra IDの設定診断から、条件付きアクセス設計、FIDO2導入、Sentinel連携までワンストップで支援します。

💡 Entra ID セキュリティ強化サービス

条件付きアクセス、認証強化、ID保護、サインインリスク監視まで対応。
→ 条件付きアクセスの設計パターン
→ パスキーの企業導入ガイド

まとめ

MFA疲労攻撃は「人間の判断力低下」を突く攻撃です。数値マッチング・コンテキスト表示・条件付きアクセスを組み合わせることで、技術的にほぼ無効化できます。さらにFIDO2キーやパスキーを併用することで、プッシュ通知MFAの限界を補えます。Entra ID Business Premium以上で利用可能な機能ばかりなので、追加投資ゼロまたは少額で大幅な防御力向上が可能です。