MFA疲労攻撃（プッシュ爆撃）で突破される原因と実務対策

はじめに：多要素認証が突破される時代の到来

多くの企業やサービスが「多要素認証（MFA）」を導入してセキュリティを強化してきました。パスワードだけでなく、スマートフォンへの認証通知やワンタイムパスワードの二重確認により、セキュリティレベルは大幅に向上するはずでした。しかし、2024年から2025年にかけて、新たな脅威が急速に増加しています。それが「MFA疲労攻撃」（別名：プッシュ爆撃）です。本記事では、MFA疲労攻撃の仕組み、なぜユーザーが騙されるのか、そして組織が実装すべき防御対策について、詳しく解説します。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

MFA疲労攻撃（プッシュ爆撃）とは：基本概念

定義

MFA疲労攻撃とは、多要素認証の仕組みを突破するサイバー攻撃で、ユーザーのスマートフォンに対して、認証通知（プッシュ通知）やSMS認証コードを連続して大量に送信し、ユーザーが誤って「承認」を選択するように仕向ける攻撃方法です。英語ではMFA Fatigue Attackまたはpush bombingと呼ばれます。

攻撃の流れと作業フロー

攻撃者の典型的な行動パターンは以下の通りです。

第1段階：認証情報の入手 フィッシング、データ漏洩、キーロガーなどの手段を使用して、ユーザーのメールアドレスとパスワードを入手します。

第2段階：大量の認証リクエスト送信 入手したメールアドレスとパスワードを使用して、ターゲットとなるオンラインサービスへのログインを試みます。同時に、スマートフォンへの認証通知が数十回、場合によっては数百回送信されます。

第3段階：ユーザーの心理的疲弊 ユーザーは次々と届く認証通知に対して、以下の心理状態に陥ります。

疲弊感: 何度も何度も通知が来るため、「ウザイ」という感情が生まれます。
混乱: 「何が起きているのか」という状況把握ができず、判断力が低下します。
誤操作のリスク: 「さっさと処理して面倒から逃げたい」という心理が働き、内容を確認せずに「承認」を押してしまいます。

第4段階：アカウント侵害と悪用 ユーザーが誤って「承認」を選択した瞬間、攻撃者がアカウントにアクセスでき、その後の犯罪活動（データ盗難、身代金要求、不正送金など）に利用します。

MFA疲労攻撃が急増している理由

1. テクノロジーの進化による実行容易化

2020年代初頭までは、大量の認証通知送信には、相応の技術的スキルと高度な自動化ツールが必要でした。しかし、現在では以下が実現しています。

自動化ツールの低コスト化: ダークウェブで容易に入手可能。
API悪用の容易性: 多くのサービスがAPIを公開しており、これを悪用することで大量送信が可能。
スケーラビリティ: クラウドインフラを利用することで、個人の詐欺師であっても数千件の攻撃を並列実行できます。

2. ユーザーの心理的脆弱性

MFA疲労攻撃の本質は、「人間の心理的な隙をつく」ことです。

認知不協和: ユーザーはログインしようとした記憶がないのに、認証通知が何度も届き、混乱します。
決断疲れ（decision fatigue）: 何度も同じ判断を迫られると、人間の判断能力は低下します。
社会心理学的圧力: 「もしこの通知が正当なものなら？」という不安から、承認してしまう傾向があります。

3. 認証通知の曖昧性

ユーザーに届く認証通知は、一般的に以下のような表示になっています：「新しいデバイスでのログイン確認：承認 / 拒否」

この表示だけでは、本当にそのユーザーが何かをしようとしたのか、攻撃者がログインを試みているのか、判断することが難しいのです。特に、ユーザーが複数のデバイスを持ち、出張中で普段と異なるネットワークから接続している場合、さらに判断が曖昧になります。

4. ビジネスロジックの欠陥

多くの企業のMFA実装には、以下のような欠陥が見つかっています。

失敗回数の制限がない: 100回、1000回と何度も認証通知を送り続けられます。
IP制限の不十分性: 海外の異なるIPアドレスから大量のログイン試行が行われても、遮断されません。
異常検知の不足: 「通常と異なるパターン」が検知されていません。

実際の被害事例：組織と個人の大規模侵害

事例1：大手テック企業への侵入

2024年、ある大手ソフトウェア企業で、複数の従業員アカウントがMFA疲労攻撃により侵害されました。攻撃者は侵害したアカウントを利用して、企業のクラウドシステムに侵入し、顧客データが格納されたデータベースにアクセスしました。最終的に数百万件の顧客情報が盗まれたとのことです。

事例2：金融機関での不正送金

銀行の幹部が、深夜にMFA疲労攻撃を受けました。スマートフォンに30分間で50回以上の認証通知が来て、疲弊した幹部が誤って「承認」を選択してしまいました。その結果、攻撃者は幹部のメールアカウントにアクセスし、メール承認フローを迂回して数千万円の送金指示を出しました。

事例3：ランサムウェア攻撃の入口

ある製造業企業では、MFA疲労攻撃により従業員のVPNアカウントが侵害されました。その後、ランサムウェア攻撃グループが社内ネットワークに侵入し、数週間かけて機密情報を盗み、その後ランサムウェアを仕掛けました。身代金要求額は約5000万円でした。

なぜMFA疲労攻撃は成功するのか：3つの根本原因

原因1：ユーザーの心理状態

認証通知が何度も続くと、ユーザーは以下の心理状態に陥ります。

疲弊感: 本来MFAは「セキュリティの強化」を目的としていますが、ユーザーにとっては「手間」と「煩わしさ」に感じられます。
判断力の低下: 人間の脳は、同じ判断を繰り返されると、最後には「自動的に」判断を始めます。これを「Decision Fatigue（決断疲れ）」と呼びます。
社会的圧力: 「もしかしたら正当なリクエストかも」という不確実性が、承認を促します。

実際に、心理学研究によると、ユーザーが3回以上連続して認証通知を受け取ると、4回目以降の正確な判断力は60%以上低下することが示されています。

原因2：認証方法の限界

プッシュ通知ベースのMFAには、以下の限界があります。

文脈情報の不足: ユーザーに「どこから」「どのデバイスから」ログイン試行があったのかの詳細情報が提示されていません。
ユーザビリティとセキュリティのトレードオフ: MFAの実装を簡単にするため、通知内容は最小限にされているのです。
クライアント側の脆弱性: スマートフォン自体がマルウェア感染していたり、画面ロックが解除されていたりすると、攻撃者が直接スマートフォンをいじって「承認」を押すことも可能です。

原因3：組織側のセキュリティ実装の不十分性

多くの組織は、MFAを導入すれば「それで十分」と考えています。しかし、以下の追加対策を実装していない場合が多いのです。

ログイン試行回数の制限: 何度も失敗したログイン試行を自動遮断する仕組みがない。
IP制限: 異なる国や地域から同時にログイン試行が行われても遮断されない。
デバイス認証: ログイン時にデバイスの正当性を確認していない。
異常検知: 通常と異なるパターンが検知されていない。

企業が実装すべき防御対策：4つの層

層1：認証方法の改善

1-1. 番号照合（Number Matching）の導入

プッシュ通知に対して、ユーザーが画面に表示されている番号を確認し、スマートフォンに表示された番号と一致することを確認した上で「承認」を押す仕組みです。

仕組み:
ユーザーがデバイスA（PC）からログインを試みる
企業のサーバーは、ランダムな4桁の番号を生成
デバイスAの画面に「番号：1234」と表示
ユーザーのスマートフォン（デバイスB）に認証通知が届き、「これからログインしますか？」と聞かれる
ユーザーがスマートフォンで番号照合を選択し、「1234」と表示されていることを確認して「承認」
効果: スマートフォンだけを見ていたり、攻撃者がスマートフォンをいじっていても、PC側の画面に表示された番号との不一致を気付かせることができます。

1-2. チャレンジ・レスポンス方式への切り替え

単なる「承認/拒否」ボタンではなく、ユーザーにクイズやセキュリティ質問に答えさせる方式です。

例: 「登録されているメールアドレスの最初の3文字は？」「2番目の認証デバイスは何ですか？」
効果: 攻撃者が単に「承認」を押すだけでは通過できません。

1-3. WebAuthn/FIDO2への移行

最も堅牢な方法は、パスワードとプッシュ通知ベースのMFAを廃止し、WebAuthn/FIDO2ベースのセキュリティキーや生体認証に移行することです。

特徴: フィッシングが効かず、MFA疲労攻撃も存在しない。
導入状況: GoogleやMicrosoftなどの大手企業は、すべての従業員にセキュリティキーを無配置し、パスワードレス認証を実現しています。

層2：ログイン試行の厳密な制限

2-1. 失敗ログイン回数の制限

最も基本的かつ重要な対策です。

実装例: 同一ユーザーID、同一メールアドレスから5回失敗後、30分間ログインを禁止。
さらに厳しいルール: 同一IP、同一デバイスから3回失敗後、即座に禁止。
効果: 大量のプッシュ通知を送りつける攻撃を事前に遮断できます。

2-2. グローバルレート制限

同じアカウントに対して、短時間で複数回のログイン試行が行われないようにします。

実装例: 1分間に3回以上のログイン試行を遮断。
効果: 自動化ツールによる攻撃を防止。

層3：異常検知と通知

3-1. 予期しないログイン時の強化検証

通常のアクセスパターンと異なる場合、追加検証を要求します。

検知対象:
異なる国からのログイン（IP地理情報の分析）
新しいデバイスからのログイン
新しいブラウザからのログイン
異常な時間帯（夜間や休日）
VPNやプロキシ経由のアクセス
対応アクション:
メールアドレスへの確認コード送信
セキュリティ質問への回答要求
事前登録デバイスからの再認証

3-2. ユーザーへのリアルタイム通知

認証試行が発生した時点で、ユーザーにメール、SMS、プッシュ通知で即座に知らせます。

メッセージ例: 「〇月〇日〇時〇分に、アメリカからのログイン試行がありました。心当たりがあれば『はい』、ない場合は『いいえ』をクリック」

層4：従業員教育と組織体制

4-1. セキュリティトレーニング

従業員全体に対する定期的なセキュリティ教育が不可欠です。

教育内容:
「予期しない認証通知が来たら、即座にIT部門に報告する」
「疲弊した状態で判断してはいけない」
「通知が何度も続く場合は、それは攻撃の可能性が高い」
「不確実な場合は、『拒否』を選ぶこと」

4-2. インシデント対応体制の構築

もし攻撃が成功した場合の対応フローを整備します。

体制:
従業員が報告できるホットラインの設置
報告後24時間以内のパスワード強制変更
アカウントのログ監査
侵害の有無の確認

4-3. セキュリティキー配置プログラム

組織の規模によっては、すべての従業員にセキュリティキー（YubikeyなどのFIDO2準拠デバイス）を配置することを検討します。

メリット:
MFA疲労攻撃が存在しない
フィッシングが効かない
パスワードレス認証への段階的な移行が実現

層5：ネットワークレベルの防御

5-1. アクセス元IP制限

企業システムへのアクセスを、事前に許可されたIPアドレスのみに限定します。

例えば、ロリポップ！固定IPアクセスのようなVPNサービスを利用して、従業員のリモートアクセス用に固定IPアドレスを割り当てることで、その固定IP以外からのアクセスを自動的に遮断できます。これにより、仮にパスワードとMFAが両方盗まれても、指定外の場所からのアクセスは防止されるのです。

5-2. WAF（Web Application Firewall）の導入

自動化ツールによるログイン試行を検知・遮断します。

MFA疲労攻撃への対策実装ロードマップ

即時対策（1～2週間）

ログイン試行失敗回数の制限設定を確認・強化
従業員への緊急セキュリティアラート
インシデント対応ホットラインの整備

短期対策（1～3か月）

番号照合機能の導入
異常検知機能の有効化
セキュリティトレーニングの実施

中期対策（3～6か月）

WebAuthn/FIDO2への移行計画策定
セキュリティキーの試験導入（パイロットグループ）
IP制限ポリシーの実装

長期対策（6～12か月以降）

全社的なセキュリティキー配置
パスワードレス認証の完全実装
継続的な監視と改善

固定IPで安全なアクセス環境を実現するなら「ロリポップ！固定IPアクセス」

ロリポップ！固定IPアクセスは、今お使いのインターネット回線をそのまま活かして固定IPアドレスを利用できるVPNサービスです。月額539円（税込）から、初期費用0円・最大2ヵ月無料で始められます。 WireGuardによる高速接続で、VPN特有の速度低下も気になりません。

MFA疲労攻撃対策として、企業システムへのアクセスを固定IPアドレスに限定することで、たとえパスワードとMFAが両方奪われても、指定外のIPアドレスからのアクセスを自動的に遮断できます。 IP制限をかけたい社内システムやクラウドサービスへのアクセス管理にぴったりです。プロバイダの乗り換えも不要で、申し込んだその日から利用できます。

→ ロリポップ！固定IPアクセスの詳細はこちら

まとめ：多層防御の時代へ

MFA疲労攻撃は、多要素認証が万能ではないことを示しました。セキュリティは、単一の技術に頼るのではなく、複数の層を組み合わせることで初めて堅牢になるのです。

認証方法の改善、ログイン試行の制限、異常検知、ユーザー教育、ネットワークレベルの防御——これら4つの層をバランスよく実装することで、MFA疲労攻撃に対する強固な防御が実現できます。

組織内でセキュリティに関わる皆様は、緊急性を持ってこれらの対策を検討していただきたいと思います。攻撃者たちは日々新しい手法を開発しています。その一歩先を行く防御体制を整備することが、組織と従業員を守るために不可欠なのです。