インフォメーション
多要素認証が効かない「Pass-the-cookie 攻撃」の仕組みと緩和策:Computer Weekly日本語版
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!
Pass-the-cookie攻撃対策
Pass-the-cookie攻撃は、盗み出したセッションCookieをWebアプリケーションやWebサービスの認証に使用する。そのセッションは認証済みなので多要素認証が迂回される。
このようなCookieは、ユーザーが認証を通った後の利便性を目的に使われる。Cookieを使えば、何度も資格情報を提供したり再認証を受けたりする必要がなくなる。そのため、Cookieは一定時間有効になるものが多い。
サイバー犯罪者は、Cookieを入手するとそれをブラウザにインポートする。そのCookieの有効期間内であれば、正規ユーザーになりすましてサイトやアプリケーション内を動き回る十分な時間を得ることができる。この間に、正規ユーザーアカウントで機密情報へのアクセス、メールの読み取りなどを行う。
では、どうすれば防ぐことができるのか。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
関連記事
- 2FAバイパスツールがもたらした二要素認証安全神話の終焉
- もはや安全ではない二要素認証(2FA)と生体認証
- 生体認証の本質的な欠点と解決策
- いまさら聞けない「cookieによるトラッキング」の基礎 なぜ制限されるのか?
- SNSユーザーにはびこる悪意ある「ブラウザ拡張機能」に注意
Copyright © ITmedia, Inc. All Rights Reserved.