IT用語集 2024/12/11

多要素認証消耗攻撃とは？ 10分でわかりやすく解説

コラム

多要素認証（MFA）は不正ログイン対策の基本ですが、「MFAの通知を大量に送りつけて、うっかり承認させる」攻撃で突破されることがあります。これが多要素認証消耗攻撃（MFA Fatigue Attack）で、プッシュ通知を悪用することから「プッシュ爆撃（Push Bombing）」「プロンプト爆撃（Prompt Bombing）」とも呼ばれます。この記事では、攻撃の仕組みと成立条件、被害のパターン、現場で効果が出やすい対策を整理します。

多要素認証消耗攻撃とは

多要素認証（MFA）の基本概念

多要素認証（MFA）は、ユーザーの身元を確認するために、複数の認証要素を組み合わせる認証方式です。一般的な認証要素は次の3種類に整理できます。

知識要素：パスワードやPINなど、ユーザーが知っている情報
所持要素：スマートフォン、認証アプリ、ワンタイムパスワード（OTP）トークンなど、ユーザーが持っているもの
生体要素：指紋や顔認証など、ユーザーの身体的特徴

複数要素を組み合わせることで、単一の要素が漏えいしても、突破されにくくする効果が期待できます。ただし、MFAは「仕組み」だけでは完結せず、運用とユーザー行動が安全性を左右します。

多要素認証消耗攻撃（MFA Fatigue Attack）の定義

多要素認証消耗攻撃は、攻撃者がログイン要求を何度も繰り返し発生させ、被害者のスマートフォンなどにプッシュ通知や確認プロンプトを大量に送る攻撃です。狙いは技術的な突破というより、人間の「疲れ」「焦り」「うっかり」を引き起こし、被害者に承認ボタンを押させることにあります。

この攻撃は、特に「プッシュ通知で承認するだけ」のMFAで起きやすく、通知が連続すると「止めたいから承認してしまう」「業務の邪魔なので誤って許可する」といった事故が発生しやすくなります。

攻撃の目的と狙い

多要素認証消耗攻撃の目的は、大きく次の3つに整理できます。

被害者の誤承認を誘発し、不正ログインを成立させる
認証通知を妨害のように使い、正規ユーザーの業務を中断させる
運用（ヘルプデスクやSOC）を疲弊させ、検知・対応を遅らせる

攻撃者は、「押してしまう状況」を作るために、深夜や業務繁忙時など、心理的に不利なタイミングを狙うことがあります。

攻撃の特徴と手口

多要素認証消耗攻撃の中核は「大量通知」と「心理操作」です。よく見られる特徴を整理します。

特徴	説明
大量の認証要求（通知スパム）	同じアカウントでログインを繰り返し、認証アプリに承認通知を連続送信する
時間帯・頻度の調整	深夜・会議中・移動中など、判断が雑になりやすい時間に集中させる
追い打ちのなりすまし連絡	「IT部門です」「不具合対応です」などと電話・チャットで連絡し、承認を促す
“承認だけ”MFAの悪用	通知に表示される情報が乏しい／数値照合がないと、誤承認が起きやすい

多要素認証を導入していても、この攻撃は「ユーザーが承認してしまう」ことで成立します。そのため、対策はMFAの方式選定と運用設計が本体になります。

多要素認証消耗攻撃のメカニズム

攻撃が成立する前提

多要素認証消耗攻撃は、いきなりゼロから成功する攻撃ではありません。多くの場合、次のような前提が先に成立しています。

ID・パスワードがすでに流出している（フィッシング、パスワード使い回し、情報漏えいなど）
ログイン画面に到達でき、認証要求を発生させられる
利用しているMFAが「プッシュ承認」中心で、誤承認を誘発しやすい

つまり、消耗攻撃は「MFAの突破」ではあるものの、実態としてはパスワード侵害＋心理誘導の組み合わせで起きやすい攻撃です。

攻撃者の行動とタイミング

攻撃者は、入手した認証情報でログインを繰り返し、被害者端末へ承認通知を大量送信します。被害者が拒否しても、間を置かず再送することで「いつ終わるのか分からない状態」を作り、判断力を鈍らせます。

さらに悪質なケースでは、別チャネル（電話・チャット・メール）で「今すぐ承認してください」と追い込み、誤承認を意図的に発生させます。ここまで来ると、技術よりも運用と教育が勝負になります。

認証システム側で問題になりやすい点

多要素認証消耗攻撃は「実装の脆弱性」を必ずしも必要としません。ただし、設計や設定が弱いと成功率が上がります。

プッシュ通知が「承認ボタンだけ」で、確認材料（場所・端末・番号照合など）が不足している
MFA要求の回数制限（スロットリング）が弱く、短時間に大量送信できる
異常な試行（連続失敗・異常IP・不審国）を止める制御（条件付きアクセス等）が弱い
ヘルプデスクが「本人確認なしにMFAリセット」など、救済フローが脆い

ユーザー側の脆弱性

ユーザー側で狙われやすいポイントは明確です。

通知を「とりあえず承認」してしまう習慣がある
承認要求の意味（＝誰かがログインしようとしている）を理解していない
IT部門を名乗る電話・チャットに反応してしまう
業務都合で「通知が邪魔」になり、誤承認が起きやすい

この攻撃は、ユーザー個人の注意力に依存させるほど弱くなります。したがって、対策は「注意してください」ではなく、誤承認が起きにくい仕組みへ寄せる必要があります。

攻撃が成功しやすい要因

要因	説明
漏えいしたパスワードが有効	攻撃者がログイン要求を発生させ続けられる
プッシュ承認だけで完結するMFA	誤承認が起きると、そのまま侵入が成立しやすい
要求回数の制御が弱い	短時間の大量通知で、心理的に追い込まれやすい
救済・復旧フローが脆い	攻撃者がヘルプデスク経由でMFAを回避できる可能性がある

多要素認証は強力ですが、「押させる」攻撃に対しては設計と運用の質がそのまま防御力になります。

多要素認証消耗攻撃への対策

まず押さえるべき基本方針

対策の優先順位はシンプルです。

誤承認を起こしにくいMFA方式にする
大量通知を起こしにくい制御を入れる
ユーザーと運用部門が「拒否・通報・復旧」できる状態を作る

認証システムの設計と実装

仕組みで勝つための代表的な対策を挙げます。

数値照合（Number Matching）や詳細表示を有効化する

プッシュ通知に「承認ボタンだけ」を置くと、押してしまう事故が起きやすくなります。ログイン画面に表示される数値をアプリ側で入力させるなど、承認に“確認行動”を必須化すると、誤承認は大きく減ります。導入可否は利用する認証基盤の機能を確認してください。

MFA要求の回数制限（スロットリング）を入れる

短時間に何十回も通知が飛ぶ状態を作らせないことが重要です。連続試行の抑止、一定回数での一時ロック、クールダウンなどを組み合わせます。

条件付きアクセス（リスクに応じた制御）を強化する

異常IP・異常地域・不審端末など、リスクが高い条件では追加制御（アクセス遮断、より強い要素の要求）を行います。MFAに到達する前段で止められる設計が理想です。

フィッシング耐性の高い認証方式を優先する

可能であれば、FIDO2／WebAuthnなどのフィッシング耐性が高い方式や、証明書・端末バインドなど、攻撃者がリモートで再現しにくい要素を優先します。プッシュ承認に依存しない設計は、消耗攻撃に強くなります。

ヘルプデスクの救済フローを固める

MFAの再登録やリセットは、なりすましに悪用されがちです。本人確認手順（多チャネル確認、申請ルート固定、記録の徹底）を定め、例外運用を最小化します。

ユーザー教育と意識向上

教育は必要ですが、「気をつけましょう」だけでは不十分です。現場で使えるルールに落とします。

身に覚えのない承認要求は必ず拒否し、即時に通報する
「IT部門を名乗る連絡で承認を求められる」ケースを想定し、折り返し・公式手順で確認する
通報先と復旧手順（パスワード変更、端末の確認、アカウントロックの依頼）を明文化する

ポイントは、ユーザーの判断に委ねる部分を減らし、行動手順を固定することです。

異常検知と監視体制

消耗攻撃は「兆候」がログに出やすい攻撃です。監視では次の観点が効きます。

同一アカウントに対する短時間のMFA要求急増
通常と異なる国・地域・IPからのログイン試行
同時多発（複数アカウントに対する同様の試行）
ヘルプデスクへの「MFAが壊れた」「通知が止まらない」問い合わせ増加

検知したら、アカウント保護（パスワード変更、セッション遮断、条件付きアクセス強化、MFA方式の見直し）を即時に回せる体制が重要です。

インシデント対応と復旧

万が一、誤承認や侵入が疑われる場合は、初動が被害を分けます。

当該アカウントのセッション遮断・パスワード変更を実施する
認証要素の再登録（必要に応じて一時無効化と再設定）を行う
ログを確認し、侵入範囲と操作内容を特定する
同種の被害が波及していないかを横展開で確認する

復旧手順は「誰が」「どの順で」「どの権限で」実施するかまで決めておくと、混乱を抑えられます。

多要素認証の今後の課題

新たな攻撃手法への備え

攻撃者は、技術ではなく運用の隙を狙う方向へ進化しがちです。多要素認証消耗攻撃はその典型で、今後も手口は変化します。最新の脅威情報を踏まえ、MFAの方式・設定・運用を定期的に見直すことが重要です。

認証技術の進化と多様化

生体認証、端末バインド、パスワードレス、リスクベース制御など、選択肢は増えています。選択肢が増えるほど「設定の複雑化」「例外運用の増加」で弱くなることもあるため、導入時は運用設計（復旧・例外・監視）まで一体で検討します。

ユーザビリティとセキュリティのバランス

セキュリティを上げるために運用が破綻すると、抜け道（例外運用の乱発、共有端末の固定ログインなど）が生まれ、結果としてリスクが増えます。業務特性に合わせ、強度と運用負荷のバランスを取りながら、誤承認が起きにくい仕組みへ寄せることが現実的です。

包括的なセキュリティ対策の必要性

MFAは重要ですが万能ではありません。ID管理、端末管理、ネットワーク制御、ログ監視、インシデント対応などと組み合わせて初めて、防御力が底上げされます。多要素認証は「入口」強化として位置づけつつ、全体最適で設計することが重要です。

まとめ

多要素認証消耗攻撃（MFA Fatigue Attack）は、プッシュ通知などの認証要求を大量に送りつけ、被害者の誤承認を狙うソーシャルエンジニアリング型の攻撃です。対策の要点は、①承認だけで完結しないMFA（数値照合など）に寄せる、②大量通知を起こさせない制御を入れる、③拒否・通報・復旧の運用を固める、の3点に集約できます。MFAを「導入した」だけで満足せず、方式・設定・運用を見直し続けることが、消耗攻撃への現実的な防御につながります。