セキュリティ

多要素認証がCookieで突破されるリスクとは?対策方法2つ紹介

2021年3月21日

多要素認証(以下「MFA」)が効かず、ログインを突破する方法がある?

定期購読しているITmediaニュースの内容でした。

多要素認証が効かない「Pass-the-cookie攻撃」の仕組み

要約すると、

Cookie(クッキー)でMFAを迂回されるから過信は禁物

このような情報が書かれていました。

Cookieは「診察券」だと思えばよい

cookie

そもそもCookieってなんでしょうね?インターネットで検索すると、次のように説明しているサイトがありました。

サイトに訪れた情報を一時的にブラウザーへ記憶させ、再訪問した際のWeb行動や入力の手前を省いてくれるブラウザーの仕組みです

Cookie説明サイト参考

これではITちょっと苦手な方、理解できなさそうです。

他に病院の「診察券」で例えた、超わかりやすいがありましたのでパクらせて頂きますね。

診察券のたとえ

診察するたび、病状や治療の進捗がカルテに記録されていく。次回来院時は、診察券をもとに前回のカルテから、治療の状況がわかるようになっているさま。

有用な情報は、もっと多くの目に触れるよう拡散したいと思います。

話を戻しまして、インターネットの世界であれば、「Amazon」「楽天市場」の再来店です。

会員登録していないけど、買い物カゴに商品が入っている状態だった

こんな経験ありますよね?

これ、ブラウザーが入力した情報をCookieとして保存し、ユーザーの再入力の手間を省いてくれているんですね。

Cookieの由来

どうしてCookie(クッキー)なんて、おいしそうな名前つけたんでしょうか?

諸説ありまして…

Cookieの由来①テレビゲーム説

その昔、「マジック・クッキー」を手に入れないと先に進めないというテレビゲームがあったそうで、それが発祥という説です。

Cookieの由来②お菓子メーカーであるロッテの説2つ

なんと、お口の恋人「ロッテ」のサイトで、次の2つの説が語られていました。

おみくじ入りクッキー説

毎回違うメッセージを表示することから、中華料理屋さんで食後に出てくる、おみくじ入りクッキーの「fortune cookie(フォーチュン・クッキー)」を語源とする説。

セサミストリートの「クッキーモンスター」説

テレビ番組『セサミストリート』のクッキーモンスター(ぐるぐる目に青いふわふわのキャラクター)が、いつもクッキーを食べているように、ウェブサーバーに情報が食べられるという意味でつけられたとする説。

紹介した②つの由来で共通していえることです。

訪れたタイミングで情報ゲット

食べさせると先に進める。

多要素認証がCookieのせいで突破される

インターネットを使うのに超便利、万能なCookieさんですが、

実は2つほど問題がありまして…それは、

  • 個人情報が含まれ、追跡されてしまう
  • 第三者に盗まれるとログインで悪用されるリスクあり

Cookieの中には、

サービスにログイン認証済みですので、どうぞお入りください

期間限定で、このような認証済みの情報を持っているわけです。つまり、

Cookie盗まれると結構、

いやかなりヤバい

PCやスマホでWebサイトを見ていると「Cookieの使用を許可しますか?」よく聞かれますけど、安易に許可していませんか?

そもそも共有で使っているデバイスは、使用後にブラウザーの履歴だけでなくCookieも削除した方がよいでしょうね。 

Cookie盗まれるリスクを低減する方法?

Pass-the-cookie攻撃を低減する”利用者側が現実的にできる対策”として、次の2つの方法があります。

  • PCの場合:ブラウザーを閉じPCシャットダウンする
  • スマホの場合:使い終わったらサービスからログアウトする

このように、ちょっとしたひと手間でリスクって回避できるんですよね。

まとめ

Cookieの危険性、多要素認証は100%安全ではないといったこと、お分かりいただけましたでしょうか?

ただ、Pass-the-cookie攻撃による悪用の事実は、未確認とのことです。

ですが、数年前から多くのハッカーによるCookieを盗み出そうとする動向が観測されているそうですよ。

Cookieのリスクは、使い終わったあとのブラウザー操作で対策できます。

  • 信頼できないサイトではCookieの使用「許可しない」
  • 使い終わったサービスはきちんとログアウトする

因みにGoogle社は、2023年後半までにサードパーティCookieのサポートを廃止する方針を示しています。

【ITmediaニュース】Chrome「サードパーティーCookie廃止後に別のトラッキング技術は採用しない」

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-セキュリティ