Malwarebytesは6月7日(米国時間)、「Hackers can take over accounts you haven't even created yet|Malwarebytes Labs」において、セキュリティ研究者らが「アカウントを作成する前にそのアカウントを乗っ取る方法」を発見したと伝えた。研究者らはこの新しい攻撃を「Pre-hijacking Attack」(プリハイジャック攻撃)と呼んでおり、人気の高いWebサイト75を調査した結果、35以上のWebサイトが少なくとも1つ以上のプリハイジャック攻撃に対して脆弱だったと説明している(参考「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」)。
研究者らはアカウントを作成する前にアカウントを乗っ取る方法を次の5つに分類している。
CFM攻撃 - クラシック・フェデレート・マージ |
同じメールアドレスを使った2つのアカウントの相互作用の欠陥を使用する攻撃方法。ユーザーによる通常のアカウントと、それに対してサイバー犯罪者による同じメールアドレスを使ったフェデレーションアカウント(フェデレーションID)で構成される。この攻撃はユーザーがシングルサインオンを利用して、サイバー犯罪者が作成したフェデレーションアカウントの実際のパスワードを変更しない場合に最も成功する。2つのアカウント作成経路の相互作用の欠陥を利用した攻撃方法 |
NV攻撃 - 非検証IDプロバイダー |
CFM攻撃と基本的には同じ方法だが、サイバー犯罪者とユーザの立場が逆になったパターン。サイバー犯罪者が通常のアカウントを作成し、ユーザーがフェデレーションアカウント(フェデレーションID)を利用する。サイバー犯罪者はメールアドレスの所有権を確認しないIDプロバイダーを使う。ここでWebサイトやオンラインサービスがメールアドレスに基づいて2つのアカウントを統合すると、サイバー犯罪者とユーザーの両方がアカウントにアクセスできるようになる |
UEC攻撃 - 期限切れメール変更 |
Webサイトやオンラインサービスがユーザによるパスワードリセットの際に電子メール変更リクエストを無効化しない問題を悪用した攻撃方法。サイバー犯罪者はユーザーのメールアドレスでアカウントを作成し、そのメールアドレスを自分のメールアドレスに変更するためのリクエストを送信する。しかし、その確認が行われうことがないため、本来のユーザーがパスワードのリセットを行うとサイバー犯罪者が制御権を得ることになり、アカウントの乗っ取りが実現する |
US攻撃 - 期限切れセッション |
認証されたユーザーがパスワードリセット後にアクティブなアカウントからサインアウトされないという欠陥を悪用するする方法。サイバー犯罪者はアカウント作成時に自動化されたスクリプトを使ってアカウントのアクティブな状態を維持。ユーザーが同じメールアドレスを使用してアカウントを作成しパスワードをリセットしたあとも、サイバー犯罪者はそのアカウントへのアクセスを維持し続けることができる |
TID攻撃 - トロイの木馬ID |
CFM攻撃とUS攻撃を組み合わせた攻撃方法。 |
上記の攻撃方法はそれぞれ深刻度は異なるものの、いずれもユーザーが提供する識別子を利用を許可する前に検証完了していないことが根本的な原因になっていると説明されている。多くのWebサイトやオンラインサービスはそうした検証を行ってはいるものの、Webサイトの使い勝手を向上させるために検証工程を非同期的に実施しており、この状況がプリハイジャック攻撃を可能にしていると指摘されている。