テキストメッセージ、電子メール、またはモバイルアプリを使用したMFAは、単一要素認証よりも安全ですが、コード(TOTPなど)は攻撃者によって傍受される可能性があります。
FIDO2準拠のキー(YubiKeyなど)は、一度発行されると攻撃者に傍受されることはなく、物理的なアクセスなしに盗むことはほぼ不可能です。
IDプロバイダーは多くの場合、キーをサポートしますが、本当の意味で管理者がそれを必須化することができない場合があります。Cloudflareは、あらゆるアプリに対するMFA方式の適用を簡素化します。
最近、ソーシャルエンジニアリングを利用した同様のアカウント乗っ取り攻撃で、130社以上が標的にされました。当社の大きなZero Trust戦略の一環である強力な認証が、脅威アクターを失敗に追い込みました。
Cloudflareのセキュリティチームに、(1)複数の社員が、正規のメッセージのように見えるテキストメッセージを受け取り、(2)それはCloudflare Oktaのログインページを表示するページに誘導するものであったという通報がありました。脅威アクターは、侵害された資格情報(3-4)を使用してログインしようとしましたが、Cloudflare Zero Trustが有効化したセキュリティキー要件を満たすことはできませんでした。
セキュリティキーは、すべての攻撃に対する万能薬ではありませんが、バリアを強化し、DNSフィルターの適用、ブラウザ分離、クラウドメールセキュリティなどの追加のZero Trustセキュリティ対策と連携して動作します。