多要素認証で約99%のセキュリティリスクを削減できる Microsoftが発表

2024年5月にMicrosoft（マイクロソフト）の研究者が発表した論文によると、多要素認証(MFA)を利用する事によりセキュリティの侵害リスクを 99.22% 削減し、パスワードが漏洩した際のセキュリティリスクを 98.56% 削減することが示されました。この結果から多要素認証の有効性やメリットがある事が分かり、Microsoftの研究者は商用の各種クラウドやSaaSアカウントは、デフォルトで多要素認証を有効化する事を推奨しています。

調査結果

MFA を実装することで、調査期間中、MFA が有効だったアカウントの 99.99% 以上が保護され、全ユーザー層における侵害リスクが 99.22% 減少します。

また、パスワードが漏洩した場合でも、MFA を実装することで、侵害リスクは 98.56% 減少します。
さらに専用の MFAアプリケーション(Google Authenticator、Microsoft Authenticatorなど)を利用する事により SMS ベースの認証よりもリスク軽減が可能になります。

MFA を使用しない場合と比較すると、いずれの MFA 方法もセキュリティを大幅に向上させます。

上記から商用アカウントにはMFAの導入が強く推奨されています。

調査期間

2022年4⽉22⽇から2022年9⽉22⽇まで

調査方法

Microsoft Azure Active Directoryユーザーのアカウント活動を分析し、MFAが設定されているか否かによってセッションを分類。
ベンチマーク乗数法を用いて、全人口の中でのアカウント侵害率を推定。

調査対象

調査期間中に不審なアクティビティのためにアカウントが審査されたアクティブなMicrosoft Azure Active Directoryユーザー

比較と考察

2019 年、Google は消費者アカウントを対象としたそのでMFA が自動攻撃を 100%、標的型攻撃の 76%、そして大量フィッシング攻撃の 96% を防いたとしています 。

ただし、この結果は攻撃が実際に起きたことが確認されたアカウントのサブセットに対して計算されたものであり、我々の前述の数値とは直接比較できません。

2022 年 4 月から 9 月の間にパスワードが漏洩した 128,000 件のアカウントのサンプルを⼊手しました。ユーザーには漏洩がすぐに通知されました。

そして、漏洩の発見から遡って 30 日間のアカウントを調査し、手動でアカウントを確認した結果、7,861 のアカウントで MFA が有効になっており、攻撃者がパスワードを使って保護されたリソースへのアクセスを試みたことを確認できました。

これらのアカウントでは、MFA によって攻撃の 98.6% が阻止されたことがわかりました。

本研究は、商用アカウントのセキュリティを強化する多要素認証 (MFA) の有効性について初めて分析を行ったもので、基準乗算法と、侵害の可能性があるアカウントのサンプリングを手動でレビューすることにより、調査期間中、MFA を有効にしたアカウントの 99.99% が保護されていたことが判明しました。

さらに、MFA を導入することで、全ユーザー層における侵害リスクが 99.22% 減少することが明らかになりました。漏洩パスワードの場合でも、リスクは 98.56% 減少します。商用アカウントにおけるこれらの結果は、消費者アカウントを対象とした過去の研究結果と同様のものでした。

引用：HOW EFFECTIVE IS MULTIFACTOR AUTHENTICATION AT DETERRING CYBERATTACKS?