最近の一連のサイバー攻撃は、多要素認証(MFA)の有効性に疑問を投げ掛けている。 2021年1月初め、米国土安全保障省サイバーセキュリティおよびインフラストラクチャセキュリティ庁はアラートを発し、クラウドの構成を強化するよう助言した。 同庁によると、リモートワークの急増でクラウドサービスへのアクセスに使う端末に企業端末と個人端末が混在するようになったことにより、こうした攻撃が多発している可能性が高いという。 サイバー犯罪者はフィッシングやログインの総当たり攻撃など、多種多様の技法を駆使している。MFAを突破する「Pass-the-cookie攻撃」も仕掛けている。 MFAは魔法ではない Pass-the-cookie攻撃自体は新しい脅威ではない。Tessianのトレバー・ルーカー氏(情報セキュリティ部門責任者)によると、これはかなり標準的な攻撃で、セッションCookieのアクセス権を手に入
![多要素認証が効かない「Pass-the-cookie攻撃」の仕組み](https://cdn-ak-scissors.b.st-hatena.com/image/square/45d45618e289682dea8b5303b849cab59d49668c/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Ftt%2Fnews%2F2103%2F08%2Fcover_news02.jpg)