## この記事でわかること - MFA を有効にしても突破される 4 つの手口 - 各手口の対策 - レガシー認証無効化の重要性 - 検知 / 対応のチェックリスト ## なぜ MFA があっても突破される? ![MFA バイパスの 4 手口](/blog/email-mfa-bypass-attacks/four-techniques.svg) MFA(多要素認証)は強力な対策ですが、攻撃者は MFA を「突破」するのではなく「**回避**」する手口を使います。 ### 手口 1: AiTM(Adversary in the Middle)フィッシング 偽の Microsoft / Google ログイン画面でユーザに ID/PW + MFA を入力させ、攻撃者がリアルタイムに本物にプロキシ。**セッショントークン**を窃取してログイン状態を奪う。 ツール: Evilginx, Modlishka 等が攻撃者間で広く流通。 **対策**: - **フィッシング耐性 MFA**(WebAuthn / FIDO2 セキュリティキー)の導入。SMS / TOTP では防げない - 条件付きアクセスポリシーで国 / IP 範囲を絞る - Microsoft Defender for Cloud Apps / Google ワークスペースのリスクポリシーで「未知の場所からのログイン」を遮断 ### 手口 2: セッショントークン窃取 ユーザの PC を侵害し、ブラウザのクッキー / セッショントークンを直接取得。MFA を経ずに認証済みセッションを再現。 **対策**: - EDR(Endpoint Detection and Response)の導入 - ブラウザ拡張の最小化(怪しい拡張がトークンを抜く) - 短い session timeout 設定 ### 手口 3: OAuth トークン悪用(同意フィッシング) 「便利なアプリ」を装って OAuth で `Mail.Read` 等の権限を取得。本人の MFA を経由せず、トークン経由でメールを読まれる。 **対策**: - Microsoft 365: 管理者承認が必要なアプリ範囲を絞る(admin consent workflow) - Google Workspace: API クライアントの allowlist を厳格化 - 既存 OAuth トークンの定期 audit ### 手口 4: レガシー認証(Basic Auth)の悪用 POP3 / IMAP / SMTP Basic 認証が有効だと、MFA を要求されない経路で侵入可能。 **対策**: - Microsoft 365: Conditional Access で「レガシー認証ブロック」ポリシー - Google Workspace: 「アクセスの少ない安全度の低いアプリ」を無効化 ## 検知 / 対応のチェックリスト ![検知 + 対応フロー](/blog/email-mfa-bypass-attacks/detection-flow.svg) | 項目 | 推奨 | |---|---| | 異常ログイン通知 | Sign-in logs を毎週レビュー | | Forwarding ルール監視 | 攻撃者は転送ルールでメール窃取するので新規 forward は通知 | | OAuth アプリ棚卸し | 半年に 1 回、不要権限を取消 | | レガシー認証無効化 | 全アカウント | | Phishing 耐性 MFA | 全管理者アカウントは必須 | | 月次パスワード強度監査 | Have I Been Pwned 突合 | ## 中小企業・スタートアップ向けの優先順位 1. **レガシー認証無効化**(最小コスト、効果大) 2. **管理者アカウントに FIDO2 セキュリティキー**(年 $50 程度の物理鍵) 3. **OAuth アプリ棚卸し**(管理画面で 30 分) 4. **Conditional Access の国 / IP 制限** 5. **EDR 導入**(規模に応じて) ## まずは現状を把握しましょう メール認証(SPF / DKIM / DMARC)が正しく設定されていれば、なりすましメール起点の侵入経路は減らせます。[無料ドメイン診断](/diagnose) で現状確認を。 設定支援 / インシデント対応は [メール認証 初期診断+設定](/contact)(8 万円〜)でご相談ください。 関連記事: [ビジネスメール詐欺 BEC 手口](/blog/bec-attack-cases) / [メールヘッダの読み方完全ガイド](/blog/email-headers-reading-guide) / [共有メールボックスのセキュリティ](/blog/shared-mailbox-security) SSL / Web セキュリティヘッダは [無料ツール一覧](/tools) もご利用ください。