Microsoftが警告、認証情報の悪用によるサイバー攻撃の教訓とは：プッシュボミングで企業ネットワークに侵入

Microsoft Incident Responseは、顧客企業の環境でプッシュボミング（プッシュ疲労攻撃）が行われていたことを発見し、対応、復旧活動を行った事例に関するレポートを発表した。

[＠IT]

　Microsoftのインシデント対応部門であるMicrosoft Incident Responseは2023年4月26日（米国時間）、顧客企業からの依頼に応じて侵入調査を行い、プッシュボミング（プッシュ疲労攻撃）が行われていたことを発見し、対応、復旧活動を行った事例に関するレポートを発表した。レポートは、同事例から学べる教訓も盛り込んでいる。

　プッシュボミングは、攻撃者が、盗まれたり、漏えいしたりした認証情報を悪用し、botやスクリプトで大量のアクセスを試行するというもの。これにより、標的としたユーザーのデバイスに、多要素認証（MFA）の確認を求めるプッシュ通知が多数送り付けられる。

　その結果、ユーザーが混乱し、誤って認証を許可する場合がある。また、ユーザーがMFA疲れから、アクセス試行を正当なものと勘違いして、認証を許可することもある。ユーザーが、1回誤って認証を許可すると、攻撃者は自分のデバイスを認証、登録して、組織のアプリケーション、ネットワーク、ファイルにアクセスできるようになる。

　Microsoftが発表した「The inCREDible attack - Building healthy habits to fight off credential attacks（inCREDible攻撃：認証情報攻撃を撃退するための健全な習慣の構築」と題されたレポートは、Microsoft Incident Responseのレポートシリーズ「Cyberattack Series」の第2弾。このレポートシリーズでは、ユニークで注目すべきエクスプロイト（脆弱《ぜいじゃく》性の悪用）を同部門がどのように調査しているかを紹介している。