Home-theater-designers
多要素認証はクラウド サービスに追加のセキュリティ層を追加しますが、常に確実であるとは限りません。現在、MFA を回避してクラウド サービスにアクセスするために、Pass-the-Cookie 攻撃が実行されています。侵入すると、機密データが盗まれたり、流出したり、暗号化されたりする可能性があります。
今日のMUOビデオ スクロールしてコンテンツを続けてください
しかし、Pass-the-Cookie 攻撃とは正確には何で、どのように機能し、攻撃から身を守るために何ができるのでしょうか?確認してみましょう。
Pass-the-Cookie 攻撃とは何ですか?
セッション Cookie を使用して認証をバイパスすることは、pass-the-cookie 攻撃と呼ばれます。
ユーザーが Web アプリケーションにログインしようとすると、アプリケーションはユーザーにユーザー名とパスワードの入力を求めます。ユーザーが多要素認証を有効にしている場合は、電子メール アドレスや電話番号に送信されるコードなどの追加の認証要素を送信する必要があります。
ユーザーが多要素認証に合格すると、セッション Cookie が作成され、ユーザーの Web ブラウザに保存されます。このセッション Cookie を使用すると、ユーザーは Web アプリケーションの新しいページに移動するたびに認証プロセスを何度も繰り返すことなく、サインインしたままにすることができます。
セッション Cookie を使用すると、ユーザーは Web アプリケーションの次のページに移動するたびに再認証する必要がなくなるため、ユーザー エクスペリエンスが簡素化されます。しかし、セッション Cookie は重大なセキュリティ上の脅威ももたらします。
誰かがセッション Cookie を盗んで、その Cookie をブラウザに挿入できる場合、Web アプリケーションはセッション Cookie を信頼し、窃盗者に完全なアクセスを許可します。
攻撃者が Microsoft Azure、アマゾン ウェブ サービス、または Google Cloud アカウントに偶然アクセスした場合、取り返しのつかない損害を引き起こす可能性があります。
Pass-the-Cookie 攻撃の仕組み
ここでは、誰かが Pass-the-Cookie 攻撃を実行する方法を示します。
セッションCookieの抽出
pass-the-cookie 攻撃を実行する最初のステップは、ユーザーのセッション cookie を抽出することです。ハッカーがセッション Cookie を盗むために使用するさまざまな方法があります。 クロスサイトスクリプティング 、フィッシング、 中間者 (MITM) 攻撃 、 また トロイの木馬攻撃 。
最近、悪意のある攻撃者が盗んだセッション Cookie をダーク Web で販売しています。これは、サイバー犯罪者がユーザーのセッション Cookie を抽出する努力をする必要がないことを意味します。サイバー犯罪者は、盗んだ Cookie を購入することで、被害者の機密データや機密情報にアクセスするための Pass-the-Cookie 攻撃を簡単に計画できます。
ASMRビデオの作り方
クッキーを渡す
侵入者がユーザーのセッション Cookie を取得すると、盗んだ Cookie を Web ブラウザに挿入して新しいセッションを開始します。 Web アプリケーションは、正規のユーザーがセッションを開始していると見なし、アクセスを許可します。
Web ブラウザごとにセッション Cookie の処理方法が異なります。 Mozilla Firefox に保存されているセッション Cookie は、Google Chrome には表示されません。ユーザーがログオフすると、セッション Cookie は自動的に期限切れになります。
ユーザーがログオフせずにブラウザを閉じると、ブラウザの設定によってはセッション Cookie が削除される可能性があります。ユーザーがブラウザを中断したところから続行するように設定している場合、Web ブラウザはセッション Cookie を削除しないことがあります。これは、Web アプリケーションからログオフせずにブラウザをシャットダウンするよりも、ログオフする方がセッション Cookie をクリアする信頼性の高い手段であることを意味します。
Pass-the-Cookie 攻撃を軽減する方法
ここでは、Pass-the-Cookie 攻撃を防ぐいくつかの方法を示します。
クライアント証明書の実装
ユーザーを Pass-the-Cookie 攻撃から保護したい場合は、ユーザーに永続的なトークンを与えることをお勧めします。そして、このトークンはすべてのサーバー接続リクエストに添付されます。
これを実現するには、システムに保存されているクライアント証明書を使用して、そのクライアントが本人であるかどうかを確認します。クライアントが証明書を使用してサーバー接続要求を行うと、Web アプリケーションはその証明書を使用して証明書のソースを識別し、クライアントにアクセスを許可するかどうかを判断します。
これは、Pass-the-Cookie 攻撃に対抗する安全な方法ですが、ユーザー数が限られている Web アプリケーションにのみ適しています。膨大な数のユーザーがいる Web アプリケーションでは、クライアント証明書を実装するのが非常に困難です。
たとえば、e コマース Web サイトには世界中にユーザーがいます。すべての買い物客にクライアント証明書を実装することがどれほど難しいかを想像してみてください。
接続リクエストにコンテキストを追加する
サーバー接続リクエストにコンテキストを追加してリクエストを検証することは、Pass-the-Cookie 攻撃を防ぐもう 1 つの方法になります。
たとえば、一部の企業では、Web アプリケーションへのアクセスを許可する前にユーザーの IP アドレスを要求します。
この方法の欠点は、攻撃者が空港、図書館、喫茶店、組織などの同じ公共空間に存在する可能性があることです。このような場合、サイバー犯罪者と正規ユーザーの両方にアクセスが許可されます。
ブラウザのフィンガープリントを使用する
通常はそうしたいかもしれませんが、 ブラウザのフィンガープリンティングから防御する 、実際に、Pass-the-Cookie 攻撃と戦うのに役立ちます。ブラウザーのフィンガープリントを使用すると、接続リクエストにさらにコンテキストを追加できます。ブラウザのバージョン、オペレーティング システム、ユーザーのデバイス モデル、優先言語設定、ブラウザ拡張機能などの情報を使用してリクエストのコンテキストを特定し、ユーザーが本人であることを確認できます。
Cookie はユーザーの追跡によく使用されるため、悪い名前が付けられていますが、Cookie を無効にするオプションもあります。対照的に、接続要求に対するアイデンティティ コンテキストの要素としてブラウザー フィンガープリントを実装すると、選択したオプションが削除されるため、ユーザーはブラウザー フィンガープリントを無効にしたりブロックしたりできなくなります。
脅威検出ツールを使用する
脅威検出ツールの使用は、悪意をもって使用されているアカウントを検出する優れた方法です。
優れたサイバーセキュリティ ツールは、ネットワークを積極的にスキャンし、重大な損害が発生する前に異常なアクティビティについて警告します。
Pass-the-Cookie 攻撃を軽減するためにセキュリティを強化する
Pass-the-Cookie 攻撃は、重大なセキュリティ上の脅威です。攻撃者はデータにアクセスするためにユーザー名、パスワード、その他の追加の認証要素を知る必要はありません。彼らはあなたのセッション Cookie を盗むだけでよく、クラウド環境に侵入して機密データを盗んだり、暗号化したり、流出したりする可能性があります。
さらに悪いことに、場合によっては、ユーザーがブラウザを閉じているときでもハッカーが pass-the-cookie 攻撃を実行できる可能性があります。したがって、Pass-the-Cookie 攻撃を防ぐために必要なセキュリティ対策を講じることが重要になります。また、ハッカーがユーザーにプッシュ通知を大量に送信してユーザーを疲弊させる MFA 疲労攻撃についてユーザーに教育します。