🔓セキュリティ

多要素認証がCookieで突破されるリスクとは?対策方法2つ紹介

多要素認証が効かず、ログインを突破する方法がある?

定期購読しているITmediaニュースの内容でした。

多要素認証が効かない「Pass-the-cookie攻撃」の仕組み

要約すると、Cookie(クッキー)でMFAを迂回できるから過信は禁物ですよ、主旨が書かれていました。

Cookieは「診察券」だと思えばよい

cookie

Cookieとは?

サイトに訪れた情報を一時的にブラウザーへ記憶させ、再訪問した際のWeb行動や入力の手前を省いてくれるブラウザーの仕組みです

これではITちょっと疎い方には伝わりません。

「診察券」例えでわかり易い情報がありましたので、パクらせて頂きます。

Cookieは「診察券」の例え

診察するたび、病状や治療の進捗がカルテに記録されていく。次回来院時は、診察券をもとに前回のカルテから、治療の状況がわかるようになっているさま。

良い情報は多くの人に知れ渡ってほしいものです。

 

さて、話を戻します。

インターネットの世界であれば、楽天市場やYahoo!ショッピングの再来店ですね。

「会員登録していないけど、買い物カゴに商品が入っている状態だった」こんな経験ありませんか?

サイト入力情報をブラウザーがCookieとして保存し、ユーザー再入力の手間を省いてるんですね。

 

Cookieの由来

どうしてCookie(クッキー)なんて、おいしそうな名前つけたんでしょうか?

諸説あります。

Cookieの由来「その①」

その昔、「マジック・クッキー」を手に入れないと先に進めないというテレビゲームがあり、そこが発祥なのではないかと言われている。

 

なんと、お口の恋人ロッテさんのサイトでも、Cookieについて次のような説明をしています。

  • 毎回違うメッセージを表示することから、中華料理屋さんで食後に出てくる、おみくじ入りクッキーの「fortune cookie(フォーチュン・クッキー)」を語源とする説。
  • テレビ番組『セサミストリート』のクッキーモンスター(ぐるぐる目に青いふわふわのキャラクター)が、いつもクッキーを食べているように、ウェブサーバーに情報が食べられるという意味でつけられたとする説。

要点をピックアップし繋げると、Cookieの説明になりますね。

訪れたタイミングで情報ゲットでき、食べさせると先に進める。

 

多要素認証がCookieのせいで突破される

インターネットを使うのに超便利、万能なCookieさんですが、主には2点問題があります。

なんとなくお気づきかもしれませんが、

  • 個人情報が含まれ、追跡されてしまう
  • 第三者に盗まれるとログインで悪用されるリスクあり

期間限定ですが、Cookieの中には「サービスにログイン認証済みですので、どうぞお入りください」情報を持っています。

つまりは、

Cookie盗まれると相当ヤバい

ということです。

PCやスマホでWebサイトを見ていると「Cookieの使用を許可しますか?」よく聞かれますけど、安易に許可していませんか?

そもそも共有で使っているデバイスは、使用後にブラウザーの履歴だけでなくCookieも削除した方がよいでしょうね。

 

Cookie盗まれるリスクを低減する方法?

Pass-the-cookie攻撃を低減する”利用者側が現実的にできる対策”として、次の2つの方法があります。

  • PCの場合・・・ブラウザーを閉じPCシャットダウンする
  • スマホの場合・・・使い終わったらサービスからログアウトする

 

まとめ

多要素認証を設定すれば、オールOKではありませんよ、という情報でした。

ただ、Pass-the-cookie攻撃による悪用の事実は未だ確認できていないそうですが、多くのハッカーは数年前からCookieを盗み出そうとする動向が見受けられるようです。

Cookieのリスクを正しく認識し、利用者側で可能なリスク対策はしておきましょう。

  • 信頼できないサイトではCookieの使用「許可しない」
  • 使い終わったサービスはきちんとログアウトする

 

因みに、Google社は2022年までにサードパーティCookieのサポートを廃止する方針を示しています。

【ITmediaニュース】Chrome「サードパーティーCookie廃止後に別のトラッキング技術は採用しない」

\楽天スーパーSALE!ポイント最大43倍!/

  • この記事を書いた人

どうなの

ITの組み合わせ【ICT】で人生を楽しむプロ|家計見直しのポイント【ライフサイクル化】」にあり|企業5社を渡り歩いてきたIT管理15年のノウハウをお届けします。

-🔓セキュリティ
-,

© 2021 ITのかけ算