多要素認証が効かない「Pass-the-cookie攻撃」の仕組みPass-the-cookie攻撃対策【前編】

多要素認証は、Pass-the-cookie攻撃によって迂回される可能性がある。攻撃に成功すると、サイバー犯罪者は正規ユーザーになりすましてシステムを利用することができる。

2021年03月08日 08時00分 公開
[Alex ScroxtonComputer Weekly]

 最近の一連のサイバー攻撃は、多要素認証(MFA)の有効性に疑問を投げ掛けている。

 2021年1月初め、米国土安全保障省サイバーセキュリティおよびインフラストラクチャセキュリティ庁はアラートを発し、クラウドの構成を強化するよう助言した。

 同庁によると、リモートワークの急増でクラウドサービスへのアクセスに使う端末に企業端末と個人端末が混在するようになったことにより、こうした攻撃が多発している可能性が高いという。

 サイバー犯罪者はフィッシングやログインの総当たり攻撃など、多種多様の技法を駆使している。MFAを突破する「Pass-the-cookie攻撃」も仕掛けている。

MFAは魔法ではない

 Pass-the-cookie攻撃自体は新しい脅威ではない。Tessianのトレバー・ルーカー氏(情報セキュリティ部門責任者)によると、これはかなり標準的な攻撃で、セッションCookieのアクセス権を手に入れたサイバー犯罪者の多くは、ほぼ間違いなくCookieを使ってシステムを探ろうとするという。

 Cerberus Sentinelのクリス・エスピノサ氏(マネージングディレクター)は、Pass-the-cookie攻撃はHTTPに「本来備わる欠陥」とWebアプリケーションの仕組みの結果だと説明する。「当社はWebアプリケーションのペネトレーションテスト中にこうした脆弱(ぜいじゃく)性を日常的に見つけている」と同氏は話す。

 文字通りMFAハッキングに関する書籍を執筆したロジャー・グライムス氏(KnowBe4のデータ駆動型防御のエバンジェリスト)は次のように話す。「MFAを迂回(うかい)または悪用する攻撃は1日に数千回起きている可能性があり、こうした攻撃は目新しいものでも驚くべきものでもない。全てのMFAソリューションは、少なくとも4通り、多ければ6通り以上の方法でハッキングできる」

 グライムス氏は次のように補足する。

 「MFAは常にハッキングも迂回も可能だ。つまり、数十年もハッキング可能なMFAの世界ですごしてきた。変わったのはその使用の増加だ。これまで以上に多くの人々が日常生活の中で複数の形式のCookieを使っている」

 同氏によると、問題はMFAを使っている人々の大半がMFAを、ハッキングを阻止する魔法のお守りのように考える傾向があることだという。そのような考えは真実ではない。

 MFAを使うべきでないと言っているわけではないとグライムス氏は付け加える。だが、MFAが何らか、あるいは全てのハッキングを防ぐというのは大きな間違いだ。MFAを使うならば、MFAは何を防ぎ、何を防がないかを理解する必要がある。

 「MFAが魔法のようにハッキングを不可能にするという考えは、MFAを使わないことよりも危険だ。残念だが、MFAを実装しているユーザーの大半、つまりほぼ全てのユーザーがこれを理解していない。MFAソリューションはフィッシングメールで回避できてしまう。それを知らなければ、クリックしようとしているURLにあまり注意を払わないかもしれない」

 F-Secureのトム・バン・デ・ウィール氏(プリンシパルコンサルタント)は次のように話す。「サイバーセキュリティは階層化されている。一部の層を誤解したり誤用したり無視したりすると、一つの脆弱性が悲惨な結果につながる恐れがある。最もよくあるのは、企業がフィッシング対策としてMFAを使う例だ。MFAソリューションの大半で効果があるのはパスワードの推測、総当たり攻撃、クレデンシャルスタッフィングなどに限られる」

攻撃の仕組み

 Pass-the-cookie攻撃は、盗み出したセッションCookieをWebアプリケーションやWebサービスの認証に使用する。そのセッションは認証済みなのでMFAが迂回される。

 このようなCookieは、ユーザーが認証を通った後の利便性を目的に使われる。Cookieを使えば、何度も資格情報を提供したり再認証を受けたりする必要がなくなる。そのため、Cookieは一定時間有効になるものが多い。

 サイバー犯罪者は、Cookieを入手するとそれをブラウザにインポートする。そのCookieの有効期間内であれば、正規ユーザーになりすましてサイトやアプリケーション内を動き回る十分な時間を得ることができる。この間に、正規ユーザーアカウントで機密情報へのアクセス、メールの読み取りなどを行う。

ユーザーへのリスク

 Cymulateのエヤル・ワクスマン氏(共同設立者兼CEO)によると、コロナ禍によってセキュリティ境界の性質が変わり、リモートサービスやクラウドサービスにアクセスするためのユーザー認証や資格情報の重要性が高まっている。そのため、こうした攻撃の経済的効果が高まっているとしても驚くことではないという。

 Bitdefenderのリビウ・アーセン氏(グローバルサイバーセキュリティの研究者)もこの見解に同意して次のように話す。「長年調査してきたスパイウェアの大半は、Cookieやセッションを盗み出す機能を備えていた。テレワークへの移行を考えると、サイバー犯罪者が従業員の端末の侵害にこの戦略を多用しているのは当然だ。そうすれば、比較的簡単に企業インフラにアクセスできるようになる」

 「Pass-the-cookie攻撃は、まずエンドユーザーの端末を侵害する必要がある。それが個人端末でも企業の資産でも構わない。このことが、CISO(最高情報セキュリティ責任者)の頭痛の種になる」とワクスマン氏は話す。

 「CISOにとっては端末にパッチを適用させることが課題になる。検知システムの可視性に一部制限があることが、端末を脆弱にする。こうした混沌(こんとん)とした状態にマルウェアを導入したりソーシャルエンジニアリングによって資格情報を盗み出したりする巧妙なスピアフィッシング攻撃が加わる」

後編では、Pass-the-cookie攻撃を緩和する方法を紹介する。

Copyright © ITmedia, Inc. All Rights Reserved.

隴�スー騾ケツ€郢晏ク厥。郢ァ�、郢晏現�ス郢晢スシ郢昜サ」�ス

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

市場調査・トレンド ServiceNow Japan合同会社

増加の一途をたどるランサムウェア、攻撃に対して先手を打つには?

さまざまなITツールの導入が進んだことで、脅威アクターにとっての攻撃対象領域も拡大し、ランサムウェア攻撃が増加し続けている。しかし、多くの企業で対応が後手に回ってしまっている。この状況から脱却するにはどうしたらよいだろうか。

技術文書・技術解説 ServiceNow Japan合同会社

毎秒1.7MBが生成されるデータ時代、個人データ保護を実現する9つのステップ

世界中の企業が取り扱う個人データには、不正使用による悪影響やデータ侵害による被害といったリスクが付き物だ。今やグローバル課題となった適切なデータ利用と保護を実現するためのアプローチを、具体的に解説する。

市場調査・トレンド ServiceNow Japan合同会社

サイバー攻撃を効果的に“予測・排除・阻止”するための優れた10の方法

サイバー脅威に対するレジリエンスと脆弱性管理を強化することは、多くの企業にとって喫緊の課題になっている。リソースとコストが限られている中で、効果的に進めるにはどうすればよいのか。そのヒントを解説する。

製品資料 ServiceNow Japan合同会社

セキュリティツール増が招くアラート対応やデータ管理の煩雑化、解決するには?

激化するサイバー攻撃に対抗すべく複数のセキュリティツールを導入する企業は多いが、アラート対応に追われたり、データ管理が煩雑になったりといった、新たな課題に悩むケースも少なくない。これらを解決するための6つのステップとは?

アイティメディアからのお知らせ

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/07/08 UPDATE

  1. 窶懊←繧後′蜊ア髯コ縺銀€昴〒縺ッ縺ェ縺上€郡aaS縺昴�繧ゅ�縺瑚�蜻ス逧�€阪€€驥題檮CISO縺瑚。晄茶縺ョ荳€螢ー
  2. 縲後ヱ繧ケ繝ッ繝シ繝峨d繧√∪縺吶€阪€€闍ア蝗ス謾ソ蠎懊′窶懊ヱ繧ケ繧ュ繝シ窶昴r菴ソ縺��縺ッ縺ェ縺懶シ�
  3. 繝代せ繝ッ繝シ繝峨→莨シ縺ヲ縺�k縺代←螳牙�諤ァ縺悟、ァ驕輔>�溘€€縲後ヱ繧ケ繧ュ繝シ縲阪€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪→縺ッ
  4. 縺ェ縺應サ翫�莨∵・ュ縺ォ縺ッ縲後ぞ繝ュ繝医Λ繧ケ繝医€阪′蠢�ヲ√↑縺ョ縺九€€蝓コ譛ャ縺九i蠕ケ蠎戊ァ」隱ャ
  5. 縺ェ縺懊€後Μ繝「繝シ繝医い繧ッ繧サ繧ケ縲阪�蜊ア髯コ縺ェ縺ョ縺九€€繝�Ξ繝ッ繝シ繧ォ繝シ縺梧魚縺�12縺ョ關ス縺ィ縺礼ゥエ
  6. 繝代せ繝ッ繝シ繝我ク崎ヲ√�縲後ヱ繧ケ繧ュ繝シ縲阪�繝。繝ェ繝�ヨ縺ィ窶懆ヲ矩℃縺斐○縺ェ縺�ウィ諢冗せ窶昴r隗」隱ャ
  7. 縲祁PN縲埼∈縺ウ縺ォ霑キ縺」縺溘i縺セ縺夊ヲ九※縺翫″縺溘>荳サ隕∬」ス蜩�4驕ク
  8. 縲袈SB謖√■蜃コ縺礼ヲ∵ュ「縲阪�蜉ケ譫懊′阮�>�溘€€繧サ繧ュ繝・繝ェ繝�ぅ譁�喧繧呈�ケ莉倥°縺帙k6蜴溷援
  9. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  10. 迥ッ鄂ェ閠��縲後□縺セ縺呎橿陦薙€阪→縲後□縺セ縺輔l繧玖「ォ螳ウ閠�ソ�炊縲阪r繝ゥ繝�け縺瑚ァ」隱ャ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...