登録前のアカウントが乗っ取られる「プレハイジャック」攻撃
2022 年 9 月 30 日 編集部 著
アカウントを乗っ取る手口の詐欺は、決して新しいものではありません。しかしその件数は急速に増加しています。2018 年までに、アカウント乗っ取り詐欺の被害総額は約 40 億ドルに上りました。2021 年にこの数字は 200% 以上増加し、現在では 120 億ドルを超えると推定されます。
Microsoft が最近発表した論文では、「ユーザが登録する前にハッカーが既にそのアカウントを乗っ取っている」という新しいアカウント侵害の方法が明らかにされています。つまりユーザの認証情報を使って、たとえば Zoom や Dropbox にアカウントを作成するということです。この「プレハイジャック」は、検知をすり抜けてアクセス権侵害ができる手法で、組織に壊滅的な影響を与える可能性があります。
この攻撃が有効なのは、以下の条件が満たされた時です。
- 当該 ID でのアカウントが未作成である。
- ハッカーが、一般的にはダークウェブで入手される何らかのユーザ ID(電子メール、ID 番号、電話番号など)を所持している。
- プロセスに欠陥があるため、認証なしにアカウントが作成できる。
最後の点については、攻撃者はログイン情報(ユーザ名とパスワード)を知っているだけなので、被害者の電子メールや携帯電話にアクセスすることはできません。そのため、その後にアカウントが有効化されることもありません。Microsoft Research の調査では、以下のようなプレハイジャックの手法が確認されています。
- クラシックフェデレーションマージ攻撃:この方法では、攻撃者がまず被害者のメールアドレスでアカウントを作成します。攻撃者は電子メールにアクセスできないのでこの時点で有効化はされませんが、ログインは記録されます。被害者が IdP の作成パスを使用してアカウントを有効化した際にアカウントが危険にさらされます。
- 期限の切れていないセッション ID 攻撃: 被害者のメールアドレスで攻撃者がアカウントを作成し、完全なアクセス権を手に入れた場合の攻撃です。その後被害者がアカウントを作成しようとした際に、すでにそのアドレスで ID が作成されているアラートが通知され、パスワードのリセットが行われますが、攻撃者はその後もアクセスが可能です。サービスが複数のセッションを同時に許可する場合に、この攻撃が成功します。
- トロイの木馬識別子攻撃: 攻撃者が新しいアカウントに識別子を生成し、実際の顧客データ(メールアドレスまたは電話番号)を使用して二次ログインを作成します。これにより、被害者がパスワードをリセットしてログインしようとしても、攻撃者はトロイの木馬としてアカウントにアクセスしたまま活動を続けることができます。
- 非認証 IdP 攻撃: 攻撃者が独自の IdP を作成し、その連携パスでアカウントを開設し、被害者のメールアドレスを使用したユーザを追加します。被害者がアカウントを作成する際、システムがそのメールアドレスのアカウントがすでに存在していることを通知します。そこでパスワードをリセットする際に、攻撃者が連携したアカウントを介してアクセス権を獲得します。
- 期限の切れていないメール変更攻撃: 攻撃者が被害者のメールアドレスを使用してアカウントを生成した後、有効化をせず、自前の異なるメールアドレスに変更します。被害者が自分のアドレスでアカウントを作成しようとした際に、アドレス変更の手続き完了前に、攻撃者がそのアカウントを乗っ取ります。
- メール認証攻撃: 多くのシステムでは、メール認証なしにサービスのアカウントを作成できないようになっています。まず攻撃者は、自前のメールアドレスを使ってアカウントを作成し、次にアドレス変更機能を利用して被害者のアドレスを登録します。被害者がアカウントを作成しようとした時に、変更手続きを開始することができますが、攻撃者はすでにそのアカウントを「トロイの木馬化」しており、アクティブなまま残れる仕組みです。
プレハイジャック攻撃から身を守るには?
基本的で最も効果的な対策は、強力な多要素認証(MFA)システムを導入することです。従来のユーザ ID とパスワードによるログインの最大の欠点は、パスワードが簡単に漏洩してしまうことです。かつて MFA システムが採用していたのは、2 要素認証(2FA)でした。しかし現在では、「多要素」と呼ばれる時には、2 つ以上の ID 認証情報でサイバー攻撃のリスクを減じている認証スキームを表すことが多くなっています。
このようなシステムは、別個の個人デバイスを利用してユーザを明示的に識別していますが、真に効果を発揮するには、アカウントの作成と同時に、関連する MFA を有効にすることが重要です。アカウント作成と MFA の有効化との時間差が長ければ長いほど、上述のような攻撃を受ける可能性が高くなります。
MFA を導入した後、組織はもう 1 つの弱点であるユーザに注目する必要があります。ユーザは、あるサービスのアカウントを作成したかどうかを覚えていないことがよくあります。そしてアラートを受けとった時点でそのアカウントは自分が作成したものだと思い込み、パスワードのリセットを進めて、気づかないうちに攻撃を許してしまうのです。以前にアカウントを作成した確信がない限り、サービスのパスワードを再取得することがないように、従業員を教育することが重要です。