多要素認証が効かない「Pass-the-cookie 攻撃」の仕組みと緩和策Computer Weeklyリバイバル

過去のComputer Weeklyから人気があったものを改めて紹介します。

2022年01月22日 10時00分 公開
[ITmedia]

Pass-the-cookie攻撃対策

 Pass-the-cookie攻撃は、盗み出したセッションCookieをWebアプリケーションやWebサービスの認証に使用する。そのセッションは認証済みなので多要素認証が迂回される。

 このようなCookieは、ユーザーが認証を通った後の利便性を目的に使われる。Cookieを使えば、何度も資格情報を提供したり再認証を受けたりする必要がなくなる。そのため、Cookieは一定時間有効になるものが多い。

 サイバー犯罪者は、Cookieを入手するとそれをブラウザにインポートする。そのCookieの有効期間内であれば、正規ユーザーになりすましてサイトやアプリケーション内を動き回る十分な時間を得ることができる。この間に、正規ユーザーアカウントで機密情報へのアクセス、メールの読み取りなどを行う。

 では、どうすれば防ぐことができるのか。