SSPRの悪用はどんな流れですか？

A. 偽のIT担当者がパスワードリセットの操作を誘導します。

SSPRとは、セルフサービスパスワードリセットです。

攻撃者は偽のIT担当者を装い、SSPRを利用し、標的アカウントのパスワードリセットを誘導します。

その流れの中で、被害者に多要素認証の承認操作をさせる流れが確認されています。承認されると、攻撃者は対象アカウントを操作できる状態になります。

攻撃者は既存のMFA設定を削除し、自身のMFAを登録します。その状態で、保存された情報や権限の確認が進められます。

実際の事例では、Azure関連の設定変更や機密情報へのアクセスも確認されています。

Microsoftは、認証関連サービスの権限設定やログ監視などを推奨しています。また、フィッシング耐性のあるMFAも有用とされています。

一方で、ソーシャルエンジニアリングによる誘導には注意が必要と言えます。

👉 詳細のブログはこちら