2026-01-02

回避手法: 多要素認証迂回 / MFA迂回 (まとめ)

【ニュース】

■2019年

◇2019年6月

◆新たな2FA回避手法でGoogleアクセス許可ポリシーを迂回するマルウェア (ESET, 2019/06/17)
https://www.eset.com/jp/blog/welivesecurity/malware-google-permissions-2fa-bypass/
⇒ https://malware-log.hatenablog.com/entry/2019/06/17/000000_13

◇2019年7月

◆SMSベースの2段階認証を迂回するマルウェアアプリを発見 (ASCII.jp, 2019/07/09 14;00)
https://ascii.jp/elem/000/001/890/1890695/
⇒ https://malware-log.hatenablog.com/entry/2019/07/09/000000_4

◇2019年8月

◆Googleのアクセス許可制限を回避しながら、二要素認証を迂回する新手法のマルウェアを発見 (マイナビニュース, 2019/08/02 13:00)
https://news.mynavi.jp/kikaku/20190802-security_frontline_v15/
⇒ https://malware-log.hatenablog.com/entry/2019/08/02/000000_10

◇2019年10月

◆FBIが多要素認証を迂回する攻撃について注意喚起 (ZDnet, 2019/10/08 13:33)
https://japan.zdnet.com/article/35143674/
⇒ https://malware-log.hatenablog.com/entry/2019/10/08/000000_2

■2020年

◇2020年11月

◆MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。 (Yahoo!, 2020/11/21)
https://news.yahoo.co.jp/byline/ohmototakashi/20201121-00208854/
⇒ https://malware-log.hatenablog.com/entry/2020/11/21/000000

◆cPanel 2FA bypassed in minutes via brute-force attacks (BleepingComputer, 2020/11/26)
[cPanel 2FAはブルートフォース攻撃によって数分でバイパスされます]
https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/
⇒ https://malware-log.hatenablog.com/entry/2020/11/26/000000_5

■2021年

◇2021年1月

◆CISA、多要素認証をバイパスするクラウド攻撃を警告 (Cafe-dc, 2021/01/18)
https://cafe-dc.com/other/cisa-warning-over-cloud-attacks-bypassing-multi-factor-authentication/
⇒ https://malware-log.hatenablog.com/entry/2021/01/18/000000_5

◇2021年3月

◆多要素認証が効かない「Pass-the-cookie攻撃」の仕組み (TechTarget, 2021/03/08 08:00)

多要素認証は、Pass-the-cookie攻撃によって迂回される可能性がある。攻撃に成功すると、サイバー犯罪者は正規ユーザーになりすましてシステムを利用することができる

https://techtarget.itmedia.co.jp/tt/news/2103/08/news02.html
⇒ https://malware-log.hatenablog.com/entry/2021/03/08/000000

◇2021年9月

◆LINEのQRコードログインに2要素認証バイパスの脆弱性 - 悪用被害も (Security NEXT, 2021/09/13)
https://www.security-next.com/129817
⇒ https://malware-log.hatenablog.com/entry/2021/09/13/000000

■2022年

◇2022年6月

◆This new Android malware bypasses multi-factor authentication to steal your passwords (ZDNet, 2022/06/16)
[多要素認証を回避し、パスワードを盗み出す新型Androidマルウェアが登場]

Cybersecurity researchers uncover MaliBot, a powerful new Android malware. Be careful what you download, and from where.
[サイバーセキュリティ研究者が、強力な新型Androidマルウェア「MaliBot」を発見。どこから何をダウンロードするか、注意してください]

https://www.zdnet.com/article/this-new-android-malware-bypasses-multi-factor-authentication-to-steal-your-passwords/
⇒ https://malware-log.hatenablog.com/entry/2022/06/16/000000

◇2022年8月

◆多要素認証をバイパスする新しい攻撃、CookieをダークWebで売買 (マイナビニュース, 2022/08/21 20:21)
https://news.mynavi.jp/techplus/article/20220821-2430739/
⇒ https://malware-log.hatenablog.com/entry/2022/08/21/000000

◇2022年9月

◆「多要素認証」を破る大規模フィッシング (日経XTECH, 2022/09/29)

1万社以上のMicrosoft 365利用企業を襲う

https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091500057/
⇒ https://malware-log.hatenablog.com/entry/2022/09/29/000000_3

■2023年

◇2023年10月

◆狙われる多要素認証、巧みに回避する攻撃手法に注意 (マイナビニュース, 2023/10/03 13:17)
https://news.mynavi.jp/techplus/article/20231003-2783230/
⇒ https://malware-log.hatenablog.com/entry/2023/10/04/191229

◆Amazonの二要素認証が突破される？新手の詐欺が発生中 (ASCII.jp, 2023/10/10 16:00)
https://ascii.jp/elem/000/004/160/4160479/
⇒ https://malware-log.hatenablog.com/entry/2023/10/10/000000_7

■2024年

◇2024年9月

◆Androidマルウェアから情報流出、被害拡大のおそれ (マイナビニュース, 2024/09/18 08:56)
https://news.mynavi.jp/techplus/article/20240918-3026711/
⇒ https://malware-log.hatenablog.com/entry/2024/09/18/000000_3

■2025年

◇2025年7月

◆Gmailの多要素認証を突破、ロシアの攻撃者が反体制派研究者を狙う (マイナビニュース, 2025/06/25 07:58)
https://news.mynavi.jp/techplus/article/20250625-3362206/
⇒ https://malware-log.hatenablog.com/entry/2025/06/25/000000_4

◇2025年7月

◆多要素認証を突破するディープフェイク、対抗策は? (マイナビニュース, 2025/07/02 08:46)
https://news.mynavi.jp/techplus/article/20250702-3367165/
⇒ https://malware-log.hatenablog.com/entry/2025/07/02/000000_2

◆攻撃者が「フィッシング耐性」認証をいまだにフィッシングする方法 (BlackHatNews, 2025/07/29)
https://blackhatnews.tokyo/archives/4097
⇒ https://malware-log.hatenablog.com/entry/2025/07/29/000000_2

◇2025年8月

◆「AIで社員の声まね→認証突破」「機密情報をAIに入力」――生成AI時代のリスク、対抗方法は (ITmedia, 2025/08/18)
https://www.itmedia.co.jp/news/articles/2508/15/news004.html
⇒ https://malware-log.hatenablog.com/entry/2025/08/18/000000_2

■2026年

◇2026年1月

◆Over 10K Fortinet firewalls exposed to actively exploited 2FA bypass (BleepingComputer, 2026/01/02 11:01)
[1万台以上のフォーティネット製ファイアウォールが、2段階認証（2FA）バイパス攻撃の標的となっている]
https://www.bleepingcomputer.com/news/security/over-10-000-fortinet-firewalls-exposed-to-ongoing-2fa-bypass-attacks/
⇒ https://malware-log.hatenablog.com/entry/2026/01/02/000000

【ブログ】

■2022年

◇2022年7月

◆Microsoft が多要素認証を回避するフィッシング攻撃「Adversary-in-the-Middle（AiTM）」について発表 (CyberTrust, 2022/07/21)
https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/aitm-phishing-and-mfa.html
⇒ https://malware-log.hatenablog.com/entry/2022/07/21/000000_4

【図表】

パスワードだけではログインできない

ユーザーとWebサイトの間に割り込む

Microsoft 365のログインサイトに見せかける
出典: https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091500057/