多要素認証が効かない「Pass-the-cookie攻撃」の仕組み：Pass-the-cookie攻撃対策【前編】

多要素認証は、Pass-the-cookie攻撃によって迂回される可能性がある。攻撃に成功すると、サイバー犯罪者は正規ユーザーになりすましてシステムを利用することができる。

[Alex Scroxton，Computer Weekly]

　最近の一連のサイバー攻撃は、多要素認証（MFA）の有効性に疑問を投げ掛けている。

　2021年1月初め、米国土安全保障省サイバーセキュリティおよびインフラストラクチャセキュリティ庁はアラートを発し、クラウドの構成を強化するよう助言した。

　同庁によると、リモートワークの急増でクラウドサービスへのアクセスに使う端末に企業端末と個人端末が混在するようになったことにより、こうした攻撃が多発している可能性が高いという。

　サイバー犯罪者はフィッシングやログインの総当たり攻撃など、多種多様の技法を駆使している。MFAを突破する「Pass-the-cookie攻撃」も仕掛けている。

MFAは魔法ではない

　Pass-the-cookie攻撃自体は新しい脅威ではない。Tessianのトレバー・ルーカー氏（情報セキュリティ部門責任者）によると、これはかなり標準的な攻撃で、セッションCookieのアクセス権を手に入れたサイバー犯罪者の多くは、ほぼ間違いなくCookieを使ってシステムを探ろうとするという。

　Cerberus Sentinelのクリス・エスピノサ氏（マネージングディレクター）は、Pass-the-cookie攻撃はHTTPに「本来備わる欠陥」とWebアプリケーションの仕組みの結果だと説明する。「当社はWebアプリケーションのペネトレーションテスト中にこうした脆弱（ぜいじゃく）性を日常的に見つけている」と同氏は話す。

　文字通りMFAハッキングに関する書籍を執筆したロジャー・グライムス氏（KnowBe4のデータ駆動型防御のエバンジェリスト）は次のように話す。「MFAを迂回（うかい）または悪用する攻撃は1日に数千回起きている可能性があり、こうした攻撃は目新しいものでも驚くべきものでもない。全てのMFAソリューションは、少なくとも4通り、多ければ6通り以上の方法でハッキングできる」

　グライムス氏は次のように補足する。

　「MFAは常にハッキングも迂回も可能だ。つまり、数十年もハッキング可能なMFAの世界ですごしてきた。変わったのはその使用の増加だ。これまで以上に多くの人々が日常生活の中で複数の形式のCookieを使っている」

　同氏によると、問題はMFAを使っている人々の大半がMFAを、ハッキングを阻止する魔法のお守りのように考える傾向があることだという。そのような考えは真実ではない。

　MFAを使うべきでないと言っているわけではないとグライムス氏は付け加える。だが、MFAが何らか、あるいは全てのハッキングを防ぐというのは大きな間違いだ。MFAを使うならば、MFAは何を防ぎ、何を防がないかを理解する必要がある。

　「MFAが魔法のようにハッキングを不可能にするという考えは、MFAを使わないことよりも危険だ。残念だが、MFAを実装しているユーザーの大半、つまりほぼ全てのユーザーがこれを理解していない。MFAソリューションはフィッシングメールで回避できてしまう。それを知らなければ、クリックしようとしているURLにあまり注意を払わないかもしれない」

　F-Secureのトム・バン・デ・ウィール氏（プリンシパルコンサルタント）は次のように話す。「サイバーセキュリティは階層化されている。一部の層を誤解したり誤用したり無視したりすると、一つの脆弱性が悲惨な結果につながる恐れがある。最もよくあるのは、企業がフィッシング対策としてMFAを使う例だ。MFAソリューションの大半で効果があるのはパスワードの推測、総当たり攻撃、クレデンシャルスタッフィングなどに限られる」

関連記事

• 2FAバイパスツールがもたらした二要素認証安全神話の終焉
• もはや安全ではない二要素認証（2FA）と生体認証
• 生体認証の本質的な欠点と解決策
• いまさら聞けない「cookieによるトラッキング」の基礎　なぜ制限されるのか？
• SNSユーザーにはびこる悪意ある「ブラウザ拡張機能」に注意

攻撃の仕組み

　Pass-the-cookie攻撃は、盗み出したセッションCookieをWebアプリケーションやWebサービスの認証に使用する。そのセッションは認証済みなのでMFAが迂回される。

　このようなCookieは、ユーザーが認証を通った後の利便性を目的に使われる。Cookieを使えば、何度も資格情報を提供したり再認証を受けたりする必要がなくなる。そのため、Cookieは一定時間有効になるものが多い。

　サイバー犯罪者は、Cookieを入手するとそれをブラウザにインポートする。そのCookieの有効期間内であれば、正規ユーザーになりすましてサイトやアプリケーション内を動き回る十分な時間を得ることができる。この間に、正規ユーザーアカウントで機密情報へのアクセス、メールの読み取りなどを行う。

ユーザーへのリスク

　Cymulateのエヤル・ワクスマン氏（共同設立者兼CEO）によると、コロナ禍によってセキュリティ境界の性質が変わり、リモートサービスやクラウドサービスにアクセスするためのユーザー認証や資格情報の重要性が高まっている。そのため、こうした攻撃の経済的効果が高まっているとしても驚くことではないという。

　Bitdefenderのリビウ・アーセン氏（グローバルサイバーセキュリティの研究者）もこの見解に同意して次のように話す。「長年調査してきたスパイウェアの大半は、Cookieやセッションを盗み出す機能を備えていた。テレワークへの移行を考えると、サイバー犯罪者が従業員の端末の侵害にこの戦略を多用しているのは当然だ。そうすれば、比較的簡単に企業インフラにアクセスできるようになる」

　「Pass-the-cookie攻撃は、まずエンドユーザーの端末を侵害する必要がある。それが個人端末でも企業の資産でも構わない。このことが、CISO（最高情報セキュリティ責任者）の頭痛の種になる」とワクスマン氏は話す。

　「CISOにとっては端末にパッチを適用させることが課題になる。検知システムの可視性に一部制限があることが、端末を脆弱にする。こうした混沌（こんとん）とした状態にマルウェアを導入したりソーシャルエンジニアリングによって資格情報を盗み出したりする巧妙なスピアフィッシング攻撃が加わる」

後編では、Pass-the-cookie攻撃を緩和する方法を紹介する。