HOME»プロジェクトマネージャ令和7年秋期»午前Ⅱ 問23
プロジェクトマネージャ令和7年秋期 午前Ⅱ 問23
問23
多要素認証疲労攻撃の例はどれか。
- 顔認証で画面ロックを解除できるスマートフォンを攻撃者が不正に使い,所有者が疲労して寝ている隙にその寝顔を利用して画面ロックの解除を試みる。
- 攻撃者の用意した偽サイトに利用者を誘導し,利用者のパスワード,電話番号など認証に関する複数の要素を不正に取得する。
- 多要素認証を利用可能なシステムの利用者に,攻撃者が"システムへの多要素認証でのログインが必要です"という偽の電子メールを繰り返し送り付け,利用者がうっかりログインしてしまうのを待つ。
- パスワード認証とスマートフォンへのプッシュ通知による認証を採用しているシステムにおいて,利用者がプッシュ通知の承認操作を行うまで,攻撃者が不正なログイン操作を繰り返す。
分類 :
テクノロジ系 » セキュリティ » 情報セキュリティ
正解 :
エ
解説 :
多要素認証疲労攻撃(MFA Fatigue Attack)とは、多要素認証を採用しているシステムに対し、攻撃者が短時間に大量の不正なログイン試行に繰り返すことで、正規利用者に多数の認証要求(特にプッシュ通知)を送り付け、誤った承認操作をさせようとする攻撃です。
攻撃者は、あらかじめ正規利用者のIDとパスワードを何らかの方法で入手した上で不正ログインを繰り返し、スマートフォンなどに多要素認証の確認要求を連続して送信します。多くの場合、これらの要求は無視されますが、深夜や業務が立て込んでいる時間帯など利用者の注意力が低下している状況では、煩わしさや混乱、疲弊から内容を確認せずに承認してしまうことがあります。この攻撃は技術的に多要素認証を突破するのではなく、人間の心理的負荷や判断ミスを突く点が特徴であり、ソーシャルエンジニアリングの一種と位置付けられます。
したがって適切な記述は「エ」です。
攻撃者は、あらかじめ正規利用者のIDとパスワードを何らかの方法で入手した上で不正ログインを繰り返し、スマートフォンなどに多要素認証の確認要求を連続して送信します。多くの場合、これらの要求は無視されますが、深夜や業務が立て込んでいる時間帯など利用者の注意力が低下している状況では、煩わしさや混乱、疲弊から内容を確認せずに承認してしまうことがあります。この攻撃は技術的に多要素認証を突破するのではなく、人間の心理的負荷や判断ミスを突く点が特徴であり、ソーシャルエンジニアリングの一種と位置付けられます。
したがって適切な記述は「エ」です。
- 生体認証の悪用であり、多要素認証の突破とは無関係です。
- 典型的なフィッシング攻撃の例です。
- 偽メールによるログイン誘導の例です。
- 正しい。攻撃者が不正なログイン操作を繰り返し行い、利用者に大量のプッシュ通知を送信し、承認操作を行わせようする点が、多要素認証疲労攻撃の典型例です。