ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!
Pass-the-cookie攻撃は、盗み出したセッションCookieをWebアプリケーションやWebサービスの認証に使用する。そのセッションは認証済みなので多要素認証が迂回される。
このようなCookieは、ユーザーが認証を通った後の利便性を目的に使われる。Cookieを使えば、何度も資格情報を提供したり再認証を受けたりする必要がなくなる。そのため、Cookieは一定時間有効になるものが多い。
サイバー犯罪者は、Cookieを入手するとそれをブラウザにインポートする。そのCookieの有効期間内であれば、正規ユーザーになりすましてサイトやアプリケーション内を動き回る十分な時間を得ることができる。この間に、正規ユーザーアカウントで機密情報へのアクセス、メールの読み取りなどを行う。
では、どうすれば防ぐことができるのか。
続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。
Copyright © ITmedia, Inc. All Rights Reserved.
