「アカウント作成前にアカウントを乗っ取る」プリハイジャック攻撃が発見される 14
ストーリー by nagazou
生まれる前から 部門より
生まれる前から 部門より
ユーザー「アカウントを作成する前にそのアカウントを乗っ取る」という常識ではあり得ないような攻撃手法が発見されたそうだ。Avinash Sudhodanan氏とAndrew Paverd氏の二人のセキュリティ研究者が見つけたもので、二人はこの攻撃手法を「Pre-hijacking Attack」(プリハイジャック攻撃)」と呼んでいるそうだ(Malwarebytes、TECH+)。
この攻撃方法は5種類の方法に分類されており、一つはメールアドレスを使った2つのアカウントの相互作用の欠陥を使用する「Classic-Federated Merge (CFM)攻撃」。二つ目は先の攻撃手法のサイバー犯罪者とユーザの立場が逆になった「Non-Verifying Identity Provider (NV)攻撃」。三つ目はユーザーによるパスワードリセットの際に電子メール変更リクエストを無効化しない問題を悪用した「Unexpired Email Change (UEC)攻撃」。
四つ目は認証されたユーザーがパスワードリセット後に、アクティブなアカウントからサインアウトされないという欠陥を悪用する「Unexpired Session (US)攻撃」。最後はCFM攻撃とUS攻撃を組み合わせた「Trojan Identifier (TID)攻撃」となっている。研究者らが人気の高いWebサイト75か所を調査したところ、35以上のWebサイトが少なくとも1手法のプリハイジャック攻撃に対して脆弱な状態だったとしている。
あるAnonymous Coward 曰く、
この攻撃方法は5種類の方法に分類されており、一つはメールアドレスを使った2つのアカウントの相互作用の欠陥を使用する「Classic-Federated Merge (CFM)攻撃」。二つ目は先の攻撃手法のサイバー犯罪者とユーザの立場が逆になった「Non-Verifying Identity Provider (NV)攻撃」。三つ目はユーザーによるパスワードリセットの際に電子メール変更リクエストを無効化しない問題を悪用した「Unexpired Email Change (UEC)攻撃」。
四つ目は認証されたユーザーがパスワードリセット後に、アクティブなアカウントからサインアウトされないという欠陥を悪用する「Unexpired Session (US)攻撃」。最後はCFM攻撃とUS攻撃を組み合わせた「Trojan Identifier (TID)攻撃」となっている。研究者らが人気の高いWebサイト75か所を調査したところ、35以上のWebサイトが少なくとも1手法のプリハイジャック攻撃に対して脆弱な状態だったとしている。
あるAnonymous Coward 曰く、
5種類の攻撃方法が例示されているが、全体的に、同じメールアドレスで先にアカウントを登録しておいて正規アカウントが紐づけられたら乗っ取るみたいな方法のようだ?
あ、ありのまま、今起こったことを話すぜ。 (スコア:2)
Re: (スコア:0)
以下、ポルナレフ禁止。
むしろレクイエム発動時くらいカオスになっているような、、、
なんか気の長い話のような (スコア:0)
自動化するのだろうけど運任せでずっと待ち続ける感じ?
そもそも登録時に既に登録済みのメールアドレスか検出しないサイトなどおめにかかったことがないのだが。
Re:なんか気の長い話のような (スコア:1)
本物のユーザーが登録しようとしたらメールアドレス登録済みとなって、「あれ登録してたっけ」とパスワードリセットすることで攻撃が成功する手法を含んでるので、そういうもの。
/* 記事読め */
Re: (スコア:0)
そもそも他人のメールアドレスで登録できるシステムがダメよね。
Re: (スコア:0)
そもそも他人のメールアドレスで登録できるシステムがダメよね。
では本人確認のためにマイナンバーを(ヤメタゲテ
Re: (スコア:0)
普通、メールアドレス登録したら、当該アドレス宛に「アカウント作成完了のために確認URLクリックすれ」メールが来ると思うんだが、違う?
リセットにしても、登録アドレスに「リセットはこのURLから」メールが来ると……
……そーゆーのが無い管理がザルなサービスで網を張るのかな。
Re: (スコア:0)
ユーザ狙い撃ちでやるんじゃないのかな。
企業や組織のミッションクリティカルな開発者のメールアドレスはわかるだろうから、登録しそうなサービスに仕込んでひたすら待ち続ける?
Re: (スコア:0)
> そもそも登録時に既に登録済みのメールアドレスか検出しないサイトなどおめにかかったことがないのだが。
マイナーだけどあるにはある(例: blackhost.xyz, webmail.co.za)
メールアドレスをそのままIDとして利用するシステムでは重複登録NGだけど、任意の文字列をIDにするシステムでは重複登録できても問題ない(あ、でも問題があるっていうのが今回の報告なのか)
Re: (スコア:0)
もう、出生時に個人用IPアドレスを振り出せば良い。
×攻撃手法 (スコア:0)
「アカウントを作成する前にそのアカウントを乗っ取る」という常識ではあり得ないような表現手法
要約すると。 (スコア:0)
1と2
Yahoo! JAPAN IDでログイン や Twitterでログインなど
他サイトと連携してログイン可能なサイトで
ハッカーは事前にYahoo! JAPAN IDでログインでアカウントを作っておき
ターゲットは知らないので従来のメールアドレスから新規アカウントを作成する。
これが同じメールアドレスなので勝手に紐づいて
ハッカーはYahoo! JAPAN IDでログインで ターゲットに成り済ますことができる。
(2はハッカーとターゲットが逆の立場)
・だけど、これ事前にYahoo! JAPAN IDとか他のIDの乗っ取りが既に完了してるのが前提じゃない?
3について
ハッカーは事前にターゲットのアカウントを作成してログインする。
ターゲットは新規登録しようとするとパスワードが違うと言われログイン出来ないので
パスワードリセットしてログインする。
ハッカーはログアウトしてないので、そのまま継続してログインした状態。
ターゲットに成り済ますことができる。
・基本的にメールアドレス確認後が前提になってるから、大手では少ないと思われる。マイナーなサイトが狙われるのかな。
4について
・3の別バージョンとはいえアカウント作成時にメールアドレス確認が必要なサイトでは被害は起きない。
5について
・1と3の合せ技らしい? が、1を乗っ取りされてる時点で問題では?
いずれにしても、
3以外は現実的じゃないにしても3はサイト側の問題であるのと
大体、登録前・登録完了後でメール飛んでくるからユーザーはその時点で気づくと思うが・・・。
これ脆弱性と言えるのか・・・ただの手抜きサイトでは・・・。
Re: (スコア:0)
んん、よくわからん。
昔、ドメインを取得して、証明書を取ったら即返却なんてのが横行してたらしいけど、それと似てる?
Re: (スコア:0)
3もまともなサイトならパスワードリセット時に全セッションログアウト処理するしなあ…