MFAプレイブック - Auth0 Docs

攻撃者は、システムへのアクセスを得るために、 (MFA) アラートを悪用することがあります。以下に、一般的な MFA 攻撃ベクトルと、その調査方法に関するガイダンスを示します。

注目すべきログイベントを見つける

以下のログイベントタイプは、MFA 攻撃を調査する際に重要です。これらは Auth0 テナントログで確認できます。

Log Event Type	Description
`gd_auth_failed`	多要素認証に失敗しました。これはシステム障害の可能性もあれば、SMS/音声/メールアドレス/TOTP を MFA 要素として使用した際に、ユーザーが誤った code を入力した可能性もあります。失敗が頻発している場合は、攻撃または MFA の設定ミスを示している可能性があります。
`gd_auth_fail_email_verification`	メールアドレスの検証失敗ログイベントタイプが高頻度で発生している場合は、悪意のあるアクティビティまたはテナントの設定ミスを示している可能性があります。
`gd_auth_rejected`, `gd_send_pn` and `gd_send_pn_failure`	プッシュイベントの頻発や応答のないプッシュイベントは、MFA疲労攻撃 (T1621) を示している可能性があります。
`gd_otp_rate_limit_exceed`	短時間に MFA の失敗が多発している場合は、自動化された攻撃を示している可能性があります。
`gd_recovery_failed`	MFA リカバリーの失敗が繰り返されている場合は、追加の認証要素を回避または置き換えようとする攻撃者の試みを示している可能性があります。
`gd_send_sms`, `gd_send_sms_failure`, `gd_send_voice`, and `gd_send_voice_failure`	これらのイベントが高頻度で発生している場合は、SMS pumping や toll fraud 攻撃を示しています。また、認証要素としての SMS/音声を回避しようとする試みを示している可能性もあります。
`gd_unenroll`	MFA デバイスの登録解除が大規模に行われている場合は、アカウント乗っ取りキャンペーンの成功を示している可能性があります。

緩和策

以下は、MFA に対する攻撃への対応例です。

SMS ポンピング攻撃や通話料金詐欺攻撃を軽減するには、SMS/音声ベースの MFA を OTP または WebAuthn に置き換え、より強固な MFA オプションへ移行します。
SMS/音声 MFA を使用している場合は、Twilio の Preventing Fraud in Verify などの不正防止機能を実装して、SMS/音声プロバイダーのセキュリティを強化します。
プッシュ通知のレート制限を適用して、MFA疲労を防ぎます。

ブルートフォース保護プレイブック

サインアップ攻撃プレイブック