米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)とアメリカ連邦調査局(FBI: Federal Bureau of Investigation)は3月15日(米国時間)、「Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and “PrintNightmare” Vulnerability|CISA」において、ロシアが支援するサイバー犯罪者が、メーカーが提供しているデフォルトの多要素認証プロトコルおよびWindows Print Spoolerの脆弱性「PrintNightmare」(CVE-2021-34527)を悪用してサイバー攻撃を仕掛けていることを確認したと伝えた。当局はこうしたサイバー攻撃の被害者にならないよう注意を呼びかけている。
当局はこの種のサイバー攻撃は少なくとも2021年5月には実行されていたと指摘している。サイバー犯罪者は非政府組織がCiscoのDuo MFAプロトコルを誤った設定で使用していることにつけこんで、MFAにデバイスを新たに登録してネットワークに侵入。その後、Windows Print Spooperの重要な脆弱性「PrintNightmare」(CVE-2021-34527)を悪用し、システムにおいて特権状態で任意のコードを実行したという。
当局は組織に対し、次のような緩和策を適用するように呼びかけている。
- MFAプロトコルの誤った設定を悪用して機密情報を流出させる脅威があることを組織は常に認識する必要がある
- すべてのユーザーに多要素認証(MFA)を適用する
- ログインに何度も失敗した場合に備えて、タイムアウトやロックアウト機能を用意する
- Active DirectoryやMFAシステムにおいて、非アクティブなアカウントが無効化されていることを確認する
- 利用しているソフトウェアは常に更新する
- すべてのアカウントで強力なパスワードを使用することを義務付ける
- ネットワークログをチェックして不正・異常活動を監視する
- 疑わしきプロセス作成イベントを警告する
MFAを有効にしたユーザーは最大で99%侵害のリスクを低減できると評価されている。MFA自体はサイバーセキュリティにおいて必須の要素であり、適切に設定した状態ですべてのユーザーが利用することが推奨されている。