多要素認証は、Pass-the-cookie攻撃によって迂回される可能性がある。攻撃に成功すると、サイバー犯罪者は正規ユーザーになりすましてシステムを利用することができる。
最近の一連のサイバー攻撃は、多要素認証(MFA)の有効性に疑問を投げ掛けている。
2021年1月初め、米国土安全保障省サイバーセキュリティおよびインフラストラクチャセキュリティ庁はアラートを発し、クラウドの構成を強化するよう助言した。
同庁によると、リモートワークの急増でクラウドサービスへのアクセスに使う端末に企業端末と個人端末が混在するようになったことにより、こうした攻撃が多発している可能性が高いという。
サイバー犯罪者はフィッシングやログインの総当たり攻撃など、多種多様の技法を駆使している。MFAを突破する「Pass-the-cookie攻撃」も仕掛けている。
Pass-the-cookie攻撃自体は新しい脅威ではない。Tessianのトレバー・ルーカー氏(情報セキュリティ部門責任者)によると、これはかなり標準的な攻撃で、セッションCookieのアクセス権を手に入れたサイバー犯罪者の多くは、ほぼ間違いなくCookieを使ってシステムを探ろうとするという。
Cerberus Sentinelのクリス・エスピノサ氏(マネージングディレクター)は、Pass-the-cookie攻撃はHTTPに「本来備わる欠陥」とWebアプリケーションの仕組みの結果だと説明する。「当社はWebアプリケーションのペネトレーションテスト中にこうした脆弱(ぜいじゃく)性を日常的に見つけている」と同氏は話す。
文字通りMFAハッキングに関する書籍を執筆したロジャー・グライムス氏(KnowBe4のデータ駆動型防御のエバンジェリスト)は次のように話す。「MFAを迂回(うかい)または悪用する攻撃は1日に数千回起きている可能性があり、こうした攻撃は目新しいものでも驚くべきものでもない。全てのMFAソリューションは、少なくとも4通り、多ければ6通り以上の方法でハッキングできる」
グライムス氏は次のように補足する。
「MFAは常にハッキングも迂回も可能だ。つまり、数十年もハッキング可能なMFAの世界ですごしてきた。変わったのはその使用の増加だ。これまで以上に多くの人々が日常生活の中で複数の形式のCookieを使っている」
同氏によると、問題はMFAを使っている人々の大半がMFAを、ハッキングを阻止する魔法のお守りのように考える傾向があることだという。そのような考えは真実ではない。
MFAを使うべきでないと言っているわけではないとグライムス氏は付け加える。だが、MFAが何らか、あるいは全てのハッキングを防ぐというのは大きな間違いだ。MFAを使うならば、MFAは何を防ぎ、何を防がないかを理解する必要がある。
「MFAが魔法のようにハッキングを不可能にするという考えは、MFAを使わないことよりも危険だ。残念だが、MFAを実装しているユーザーの大半、つまりほぼ全てのユーザーがこれを理解していない。MFAソリューションはフィッシングメールで回避できてしまう。それを知らなければ、クリックしようとしているURLにあまり注意を払わないかもしれない」
F-Secureのトム・バン・デ・ウィール氏(プリンシパルコンサルタント)は次のように話す。「サイバーセキュリティは階層化されている。一部の層を誤解したり誤用したり無視したりすると、一つの脆弱性が悲惨な結果につながる恐れがある。最もよくあるのは、企業がフィッシング対策としてMFAを使う例だ。MFAソリューションの大半で効果があるのはパスワードの推測、総当たり攻撃、クレデンシャルスタッフィングなどに限られる」
Pass-the-cookie攻撃は、盗み出したセッションCookieをWebアプリケーションやWebサービスの認証に使用する。そのセッションは認証済みなのでMFAが迂回される。
このようなCookieは、ユーザーが認証を通った後の利便性を目的に使われる。Cookieを使えば、何度も資格情報を提供したり再認証を受けたりする必要がなくなる。そのため、Cookieは一定時間有効になるものが多い。
サイバー犯罪者は、Cookieを入手するとそれをブラウザにインポートする。そのCookieの有効期間内であれば、正規ユーザーになりすましてサイトやアプリケーション内を動き回る十分な時間を得ることができる。この間に、正規ユーザーアカウントで機密情報へのアクセス、メールの読み取りなどを行う。
Cymulateのエヤル・ワクスマン氏(共同設立者兼CEO)によると、コロナ禍によってセキュリティ境界の性質が変わり、リモートサービスやクラウドサービスにアクセスするためのユーザー認証や資格情報の重要性が高まっている。そのため、こうした攻撃の経済的効果が高まっているとしても驚くことではないという。
Bitdefenderのリビウ・アーセン氏(グローバルサイバーセキュリティの研究者)もこの見解に同意して次のように話す。「長年調査してきたスパイウェアの大半は、Cookieやセッションを盗み出す機能を備えていた。テレワークへの移行を考えると、サイバー犯罪者が従業員の端末の侵害にこの戦略を多用しているのは当然だ。そうすれば、比較的簡単に企業インフラにアクセスできるようになる」
「Pass-the-cookie攻撃は、まずエンドユーザーの端末を侵害する必要がある。それが個人端末でも企業の資産でも構わない。このことが、CISO(最高情報セキュリティ責任者)の頭痛の種になる」とワクスマン氏は話す。
「CISOにとっては端末にパッチを適用させることが課題になる。検知システムの可視性に一部制限があることが、端末を脆弱にする。こうした混沌(こんとん)とした状態にマルウェアを導入したりソーシャルエンジニアリングによって資格情報を盗み出したりする巧妙なスピアフィッシング攻撃が加わる」
後編では、Pass-the-cookie攻撃を緩和する方法を紹介する。
Copyright © ITmedia, Inc. All Rights Reserved.
サービスアカウントによる特権アクセスの管理に頭を悩ませるセキュリティ担当者は少なくないだろう。重要なシステムやデータを守るには、こうした特権アクセスを適切に管理し、アカウントを保護することが求められる。
サービスアカウントの悪用や誤用が問題になっている。システムやアプリケーションへのアクセスに特別な権限を有しているだけに、悪用されれば大きな被害につながる可能性もある。管理・保護のベストプラクティスをチェックしよう。
eコマースの登場以降、デジタル決済の選択肢は急速に広がり、利用者の利便性は飛躍的に高まった。一方で、それぞれの決済方法を利用するユーザーを標的とした金融犯罪や不正行為も爆発的に増加している。どう防げばよいのだろうか。
金融サービス業界において、金融犯罪を防ぐための対策は不可欠だ。デジタルサービスが増え、システムが複雑化する中で、どう対策を実践していくか。取引詐欺やマネーロンダリングなど4つのシーンを取り上げ、具体的な対策を解説する。
クラウドシフトが進み、リモートワークも普及した現代のIT環境で重要性が高まっているのが、ゼロトラストに基づくセキュリティ対策だ。その新たなアプローチとして、ブラウザベースの手法が注目されている。どういった手法なのか。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
