2021年06月07日 10時00分 公開
インフォメーション

多要素認証が効かない「Pass-the-cookie 攻撃」の仕組みと緩和策Computer Weekly日本語版

ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!

[ITmedia]

Pass-the-cookie攻撃対策

 Pass-the-cookie攻撃は、盗み出したセッションCookieをWebアプリケーションやWebサービスの認証に使用する。そのセッションは認証済みなので多要素認証が迂回される。

 このようなCookieは、ユーザーが認証を通った後の利便性を目的に使われる。Cookieを使えば、何度も資格情報を提供したり再認証を受けたりする必要がなくなる。そのため、Cookieは一定時間有効になるものが多い。

 サイバー犯罪者は、Cookieを入手するとそれをブラウザにインポートする。そのCookieの有効期間内であれば、正規ユーザーになりすましてサイトやアプリケーション内を動き回る十分な時間を得ることができる。この間に、正規ユーザーアカウントで機密情報へのアクセス、メールの読み取りなどを行う。

 では、どうすれば防ぐことができるのか。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。