パスワードを忘れた? アカウント作成
21552764 story
Google

パスワード変更後も継続してGoogleアカウントを侵害できるエクスプロイト、実装するマルウェアが増加 19

ストーリー by headless
侵害 部門より
パスワードを変更しても攻撃者による Google サービスへのアクセスを可能にするエクスプロイトが10月に公開されたが、このエクスプロイトを組み込んだ情報窃取型マルウェアが急速に広がっているそうだ (CloudSEK のブログ記事The Register の記事)。

エクスプロイトの仕組みは、トークンを改ざんして永続的な Google の cookie を生成することでパスワードを変更しても引き続きアクセスが可能になるというもの。エクスプロイトの利用が判明しているマルウェアファミリーとしては Lumma や Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnake が挙げられている。

CloudSEK の調査によれば、エクスプロイトは非公開の「MultiLogin」と呼ばれる Google の OAuth エンドポイントを利用しているという。MultiLogin は Google の複数のサービスにわたって Google アカウントを同期する内部メカニズムであり、Chromium のソースコードで用途が説明されている。

根本的な解決には Google による修正を待つしかないが、CloudSEK では暫定的な緩和策を紹介している。アカウントが侵害されている可能性がある場合、または用心のために緩和策を適用するには、すべてのブラウザープロファイルからサインアウトして現在のセッショントークンを無効化し、パスワードをリセットしてから再びサインインして新しいトークンを作成すればいい。特にトークンと GAIA ID が盗まれたと考えられる場合にはこの操作が重要とのことだ。
  • by Anonymous Coward on 2024年01月06日 17時43分 (#4589980)

    ブラウザからサインアウトするだけでいいの?

    ここに返信
  • by Anonymous Coward on 2024年01月06日 17時44分 (#4589981)

    一般ユーザがどんな経緯でこんなクラックを受けるのか、さっぱりわからん。次のどれ?
    ・怪しいアプリケーションを使った。
    ・怪しいサイトもしくはクラックを受けたサイトから Google ID でログインした。
    ・Windows を使っていた。
    ・Chrome を使っていた。
    ・その他

    ここに返信
    • by Anonymous Coward

      現在の侵入経路は圧倒的に詐欺広告

    • by Anonymous Coward

      怪しいChromeのアドオンをインストールしていた

      #インストールした当時は怪しくなくてもあとからマルウェア混入することもある

    • by Anonymous Coward

      業務用のパソコンで広告をクリックするな!広告ブロッカーを使え!

      • by Anonymous Coward

        業務用のパソコンで広告をクリックするな!広告ブロッカーを使え!

        せんぱい!あなりちくすがみれません!

        # 阿呆には使わせないが正解だがそうもいかないっていうジレンマ

    • by Anonymous Coward

      1、そもそも構造に欠陥がある。
      2、アプリ許可をあえた後に特権が濫用される。

      パスワードを変えてもアプリ側は特権を得ているのでやりたい放題
      って事

    • by Anonymous Coward

      Windowsに例える方が理解しやすいと思うので。

      アプリをインストールしてアプリにAdministrator権限を付与する。
      Administratorのパスワードを変えてもアプリはAdministrator権限があるので
      好き勝手にできる。
      で返信

      • by Anonymous Coward

        Windowsとは一体...

        • by Anonymous Coward

          脆弱性そのもの
          構造に欠陥があるものはその場限りの修正を施しても
          最後は廃止以外の選択肢しか無い
          Internet Explorerしかり

          • by Anonymous Coward

            パスワードを変更してもユーザー権限が維持される脆弱性は一般的なOSにはありますね。

  • by Anonymous Coward on 2024年01月06日 19時21分 (#4590000)

    認証させるまではクッソ面倒くさいけど、一回通してしまったらやりたい放題みたいなデザイン。
    ぜったい悪用されると思ってた。

    これに関してはAppleの、自分がどんなものにサインアップしているかがわかり、それが明快な言葉で、しかも何度も示されるデザインのが優れてる。
    古くさいとか面倒くさいとか言うやつもいるけど、少なくとも件のようなことにはならない。

    ここに返信
    • by Anonymous Coward

      MobileMeの頃に登録したAppleアカウント、パスワードの再発行だけは繰り返しできるがログインできないのがあるんだけど、ぶっ壊れてるのかねこれ。

      • by Anonymous Coward

        2ファクタ認証になるので、当該アカウントの「信頼できる連絡先」宛てにSMSが届いているのでは?その連絡先が行方不明とか?
        あとは、
        https://support.apple.com/ja-jp/HT201771 [apple.com]
        に書かれていないケースとして、MobileMeをiCloudに移行してなくて、行き場のない状態になってるとか。

        住所とか連絡先とかMobileMeアカウント時の各種情報が揃ってるなら、サポートに相談すればいいと思うけれど。
        IDは(取引記録上)消せないけれど(事実上)無効化してアクセスできなくする話、とかいろいろ融通利かせて相談に乗ってくれる(こともある)。

        • by Anonymous Coward

          いろいろ調べてくれてありがたいが、もう諦めてる。Appleでは複垢禁止されてないし。
          そのメールアドレスでの資産は昔ダウンロード購入した曲ぐらいしかないので、サポートに連絡する気力もないんだよね。
          別に問題が起きてどうしてもログイン必要なら連絡してみるよ。ありがとうございました。

  • by Anonymous Coward on 2024年01月07日 4時45分 (#4590080)

    PC用のGoogleドライブって、ブラウザでは2週間に一度必要なGoogleアカウントの再認証(といってもパスワードを入れなおすだけで2段階ってわけではない)とか、パスワード変更後の再認証とか出てきたことないんですよね。ドライブだから特別扱いなのか、ブラウザの認証データを持ってきてるのかもしれないですけど、これっていいんだろうか?と…

    ここに返信
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...