あるAnonymous Coward 曰く、

先日、米Uber Technologiesへの不正アクセス被害が報じられたが、その方法が「MFA Fatigue（多要素認証疲れ）」攻撃だったことが報じられている（ITmedia, Yahooニュース）。

MFA Fatigue攻撃は、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の二段階認証の通知に疲れ果てたころに、システム管理者を装って「通知を止めるには承認してください」などと指示して承認させるというものだという。GTA6のソースコード流出も同一犯と報じられているため、こちらも同じ手口が用いられた可能性がある。

ハッカーグループのチャットでは「従業員が寝ようとしている午前1時に100回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFAポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではスマホなどを使った多要素認証を求めるシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

情報元へのリンク