2 人のセキュリティ研究者が、事前に乗っ取る準備をしてインターネット アカウントを乗っ取る 5 つの関連手法を特定しました。
そして、75の人気インターネットサービスを分析したところ、ほぼ半数がこれらの技術の少なくとも1つに対して脆弱であったと主張している。
独立系セキュリティ研究者のアビナッシュ・スドダナン氏とマイクロソフトの上級研究員アンドリュー・パバード氏は、「乗っ取られる前のアカウント:Web 上でのユーザー アカウント作成におけるセキュリティの失敗に関する実証的研究」と題する論文で調査結果を説明しています。
8 月に開催される USENIX セキュリティ シンポジウムで発表される予定のこの論文では、オンライン サービスではアカウントの使用を許可する前にサインインする人が提供された ID を所有していることの確認に失敗することが多いため、フェデレーション ID サービスと従来のパスワードベースのアカウント作成の相互作用がどのように悪用される可能性があるかについて検証しています。
「こうした攻撃の特徴は、被害者がアカウントを作成する前に攻撃者が何らかのアクションを実行することで、被害者がアカウントを作成/回復した後に攻撃者が簡単にアクセスできるようになることだ」とスドダナン氏とパバード氏は論文で説明している。
2人の研究者は今週、自分たちの研究についてのブログ記事も公開した。
この分野における先行研究は、2018年のUSENIXカンファレンスでシカゴ大学の研究者5名によって発表されました。この研究では、Cookieの盗難が、Apple、Facebook、Google、Microsoftなどのアイデンティティプロバイダー(IdP)を介してユーザーが利用するシングルサインオン(SSO)サービスにどのような影響を与えるかが調査されました。
このシナリオでは、攻撃者はセッションCookieを盗み、それを用いて被害者がまだアカウントを持っていないオンラインサービスにアカウントを作成することで、被害者のフェデレーションID(IdP)を掌握します。その後、被害者が標的のサービスにサインアップしようとすると、攻撃者は侵害したフェデレーションログインを通じてそのアカウントを乗っ取ることができます。
セキュリティを破る方法は5つあるはずだ
Sudhodanan 氏と Paverd 氏は、フェデレーション ID プロバイダー アカウントの侵害を伴わない、先制的なアカウント ハイジャックの 5 つの関連戦略を特定することで、この攻撃対象領域を拡大しました。
彼らの脅威モデルは、攻撃者がターゲット サービスとサードパーティの IdP サービスにアクセスできる、攻撃者はターゲット サービスで無料および有料のアカウントを作成できるが管理者権限を持っていない、攻撃者は IdP サービスでアカウントを作成し、ターゲット サービスで使用できる、攻撃者は被害者の電子メール アドレスや、名や姓などのその他の基本情報を知っている、という特定の仮定を立てています。
いくつかの攻撃のバリエーションは、被害者を攻撃者が管理するURLにアクセスさせることを前提としています。また、この脅威モデルでは、被害者はフィッシングに反応しない程度のセキュリティ意識を持っていると想定していますが、被害者がまだアカウントを開設していないサービスから送信される通知を無視することも想定しています。研究者たちは、この仮定は過去の研究によって裏付けられていると主張しています。したがって、これらの攻撃はソーシャルエンジニアリングに直接依存しているわけではありませんが、特定の種類の社会的行動に依存しています。
最初のものは Classic-Federated Merge 攻撃と呼ばれ、ターゲット サービスが従来の (電子メール アドレスとパスワードの提供) アカウント作成と、Facebook ログインなどの IdP による SSO アカウント作成の両方をサポートしている必要があります。
攻撃者は、被害者のメールアドレスと攻撃者が選択したパスワードを使用して、典型的な方法でアカウントにサインアップします。その後、被害者はIdP経由でサインアップします。
次に何が起こるかは定かではありません。被害者はアカウント作成や既存アカウントの通知に注意を払うかどうかは不明で、パスワードリセットで攻撃を阻止できる可能性があります。しかし、被害者がIdP経由でアカウントにアクセスしている間、攻撃者は従来の方法で引き続きサインインできる可能性もあります。
2 番目の手法は「期限切れのないセッション攻撃」と呼ばれ、ターゲット サービスがパスワードのリセットと複数の同時セッションをサポートしている必要があります。
攻撃がどのように実行されるのか… 出典:アンドリュー・パバード/マイクロソフト。クリックして拡大
「この攻撃は、認証済みのユーザーがパスワードをリセットしてもアカウントからログアウトされないという脆弱性を悪用します」と研究者らは説明しています。「これにより、攻撃者は被害者がパスワードをリセットした後でも、乗っ取られる前のアカウントへのアクセスを維持できます。」
このシナリオでは、攻撃者は被害者のメールを使用してアカウントを作成し、ログインして、おそらくスクリプトを介してセッションを無期限にアクティブに保ちます。
被害者は標的のサービスでアカウントを作成しようと試みる必要がある。アカウントが既に存在する場合、被害者はパスワードのリセットを試みるかもしれない。しかし、サービスが攻撃者のセッションを無効化しなかった場合、攻撃者は被害者のアカウントにアクセスできてしまう。
他に説明されているハイジャック前の攻撃には、トロイの木馬識別子、有効期限切れでない電子メールの変更、非検証 IdP などがあります。
小さな問題ではない
これらはどれも効果があると保証されていないため、かなり憶測に過ぎないように思えるかもしれません。しかし、様々な人気オンラインサービスで試してみるのに十分な実力があることが証明されました。研究者たちは、Alexa上位150のウェブサイトから75の人気サービスをテストし、ハイジャック前の攻撃による悪用の可能性を調べたところ、少なくとも35のサービスがこれらの手法の1つ以上に脆弱であることがわかりました。
例えば、Dropboxは「有効期限切れのないメールアドレス変更攻撃」に対して脆弱であることが判明しました。Instagramは「トロイの木馬識別子攻撃」に対して脆弱であることが判明しました。Microsoft傘下のLinkedInは、「有効期限切れのないセッション攻撃」と「トロイの木馬識別子攻撃」の亜種に対して潜在的に脆弱であることが判明しました。WordPressとZoomはそれぞれ、これらの攻撃のうち2つに対して脆弱であることが判明しました。
- ブリュードッグはまあまあのビールを造っているかもしれないが、そのセキュリティは最悪だ。欠陥によって誰でも無料でビールを飲めるようになった
- TwitterのSIMスワップ強盗で告発された22歳の英国人が78万4千ドルの仮想通貨窃盗で起訴される
- ランサムウェアの犯罪者に何ヶ月もネットワークに留まらせないようにしましょう ― この政府機関のように
- SolarWindsは悪化の一途:調査で新たなバックドアマルウェアを発見
Sudhodanan氏とPaverd氏は、35のサービスで特定した56件の脆弱性すべてを責任を持って開示したと述べています。そのうち19件は、HackerOne、Bugcrowd、Federacyといったサードパーティのバグ報告サービスを通じて報告されたものです。また、セキュリティ報告用のメールアドレスを通じて、さらに11社に連絡を取ったとのことです。理論上は、これらの報告を受けた企業は既に対応しているはずです。
「前節で特定されたすべての攻撃の根本原因は、主張された識別子の所有権の検証が不十分であることにある」と研究者らは結論づけている。「…多くのサービスがこの種の検証を行っているものの、多くの場合非同期的に行われ、識別子が検証される前にユーザーがアカウントの特定の機能を利用できるようになっている。これはユーザビリティを向上させる(サインアップ時のユーザーの負担を軽減する)可能性はあるものの、ユーザーはハイジャック前の攻撃に対して脆弱なままである。」®
