多要素認証(以下「MFA」)が効かず、ログインを突破する方法がある?
定期購読しているITmediaニュースの内容でした。
多要素認証が効かない「Pass-the-cookie攻撃」の仕組み
要約すると、
Cookie(クッキー)でMFAを迂回されるから過信は禁物!
このような情報が書かれていました。
Cookieは「診察券」だと思えばよい
そもそもCookieってなんでしょうね?インターネットで検索すると、次のように説明しているサイトがありました。
サイトに訪れた情報を一時的にブラウザーへ記憶させ、再訪問した際のWeb行動や入力の手前を省いてくれるブラウザーの仕組みです
Cookie説明サイト参考
これではITちょっと苦手な方、理解できなさそうです。
他に病院の「診察券」で例えた、超わかりやすいがありましたのでパクらせて頂きますね。
診察券のたとえ
診察するたび、病状や治療の進捗がカルテに記録されていく。次回来院時は、診察券をもとに前回のカルテから、治療の状況がわかるようになっているさま。
有用な情報は、もっと多くの目に触れるよう拡散したいと思います。
話を戻しまして、インターネットの世界であれば、「Amazon」「楽天市場」の再来店です。
会員登録していないけど、買い物カゴに商品が入っている状態だった
こんな経験ありますよね?
これ、ブラウザーが入力した情報をCookieとして保存し、ユーザーの再入力の手間を省いてくれているんですね。
Cookieの由来
どうしてCookie(クッキー)なんて、おいしそうな名前つけたんでしょうか?
諸説ありまして…
Cookieの由来①テレビゲーム説
その昔、「マジック・クッキー」を手に入れないと先に進めないというテレビゲームがあったそうで、それが発祥という説です。
Cookieの由来②お菓子メーカーであるロッテの説2つ
なんと、お口の恋人「ロッテ」のサイトで、次の2つの説が語られていました。
おみくじ入りクッキー説
毎回違うメッセージを表示することから、中華料理屋さんで食後に出てくる、おみくじ入りクッキーの「fortune cookie(フォーチュン・クッキー)」を語源とする説。
セサミストリートの「クッキーモンスター」説
テレビ番組『セサミストリート』のクッキーモンスター(ぐるぐる目に青いふわふわのキャラクター)が、いつもクッキーを食べているように、ウェブサーバーに情報が食べられるという意味でつけられたとする説。
紹介した②つの由来で共通していえることです。
訪れたタイミングで情報ゲット、
食べさせると先に進める。
多要素認証がCookieのせいで突破される
インターネットを使うのに超便利、万能なCookieさんですが、
実は2つほど問題がありまして…それは、
- 個人情報が含まれ、追跡されてしまう
- 第三者に盗まれるとログインで悪用されるリスクあり
Cookieの中には、
サービスにログイン認証済みですので、どうぞお入りください
期間限定で、このような認証済みの情報を持っているわけです。つまり、
Cookie盗まれると結構、
いやかなりヤバい
PCやスマホでWebサイトを見ていると「Cookieの使用を許可しますか?」よく聞かれますけど、安易に許可していませんか?
そもそも共有で使っているデバイスは、使用後にブラウザーの履歴だけでなくCookieも削除した方がよいでしょうね。
Cookie盗まれるリスクを低減する方法?
Pass-the-cookie攻撃を低減する”利用者側が現実的にできる対策”として、次の2つの方法があります。
- PCの場合:ブラウザーを閉じPCシャットダウンする
- スマホの場合:使い終わったらサービスからログアウトする
このように、ちょっとしたひと手間でリスクって回避できるんですよね。
まとめ
Cookieの危険性、多要素認証は100%安全ではないといったこと、お分かりいただけましたでしょうか?
ただ、Pass-the-cookie攻撃による悪用の事実は、未確認とのことです。
ですが、数年前から多くのハッカーによるCookieを盗み出そうとする動向が観測されているそうですよ。
Cookieのリスクは、使い終わったあとのブラウザー操作で対策できます。
- 信頼できないサイトではCookieの使用「許可しない」
- 使い終わったサービスはきちんとログアウトする
因みにGoogle社は、2023年後半までにサードパーティCookieのサポートを廃止する方針を示しています。
