starthome-logo 無料ゲーム
starthome-logo

セッション Cookie を悪用して多要素認証を回避し、企業のリソースにアクセスする攻撃者が増加

2022年9月13日
<<報道資料>>
ソフォス株式会社

セッション Cookie を悪用して多要素認証を回避し、企業のリソースにアクセスする攻撃者が増加

~攻撃者は盗み出したセッション Cookie を用いて正規のユーザーになりすまし、ネットワーク上を自由に移動します~

次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、Sophos X-Opsチームが公開した「Cookieの窃取:新たな侵入経路」レポートの中で、攻撃者が盗み出したセッションCookieを悪用して多要素認証(MFA)を迂回し、企業のリソースにアクセスする事例が増えていることを本日、発表しました。いくつかのインシデントではCookieの窃取自体が高度な標的型攻撃になっており、攻撃者はネットワーク内の侵害されたシステムからCookieデータを収集し、悪意のある活動を隠ぺいするために正規の実行ファイルを使用していました。攻撃者が一度Cookieを使用して企業のWebベースリソース、あるいはクラウドリソースへのアクセスを得ると、そのアクセスはたとえばビジネスメール詐欺、別のシステムにアクセスするためのソーシャルエンジニアリング、さらにはデータやソースコードリポジトリの改変など、波状的な攻撃に悪用されます。

ソフォスの主任脅威リサーチャーであるSean Gallagherは、以下のように述べています。「最近1年間、攻撃者は導入が進むMFAを迂回するため、Cookieの窃取に注目するようになってきました。攻撃者は認証用Cookie(アクセストークン)の入手プロセスを簡素化するため、Raccoon Stealerのように新しく、改良された情報窃取型のマルウェアを使用するようになっています。セッションCookieを所持していれば、攻撃者は正規のユーザーになりすまして、ネットワーク内を自由に動き回ることができます」

セッションCookie(認証Cookie)とは、ユーザーがWeb上のリソースにログインする際にWebブラウザが保存する特殊なCookieです。攻撃者がセッションCookieを入手すると、新しいWebセッションにアクセストークンを注入する「Pass-the-Cookie」攻撃を仕掛けて、ユーザーが認証されているようにブラウザを騙して認証を回避します。これらのトークンはMFAを使用していても生成され、Webブラウザ上に保存されます。そのため、MFAを使用している場合であっても同様の攻撃を受けると認証を迂回されます。さらに厄介なことに、多くの正規のWeb ベース・アプリケーションでは、Cookieはほぼ無期限で保持されます。無期限ではないCookieも、ユーザーが意図的にサービスからログアウトした場合にのみその期限が切れます。

サイバー犯罪ではマルウェアがサービスとして提供されるようになっており、技術的なスキルのない攻撃者であっても容易に認証情報を窃取できるようになっています。たとえばRaccoon Stealer(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)のような情報窃取型トロイの木馬を購入するだけで、パスワードやCookieなどのデータを大量に収集し、Genesis(https://news.sophos.com/ja-jp/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces-jp/)などの犯罪市場で販売できます。ランサムウェアのオペレーターなど他の攻撃者は、これらのデータを購入し、攻撃に利用できる情報を選別して活用できます。

一方、ソフォスが最近調査した2件のインシデントでは、攻撃者はより標的型攻撃に近いアプローチを取っていました。ある事例では、攻撃者は標的のネットワーク内で数か月間にわたってMicrosoft EdgeブラウザからCookieを収集していました。この事例では、最初の侵害ではエクスプロイトキットが使用されていました。その後、攻撃者はCobalt StrikeとMeterpreterを組み合わせて正規のコンパイラツールを悪用し、アクセストークンを収集しています。もう一方の事例では、攻撃者は正規のMicrosoft Visual Studioコンポーネントを使用して、1 週間にわたってCookieファイルをスクレイピングする、悪意のあるペイロードを投下しました。

先述のGallagherは次のように述べています。「過去にはCookieを大量に盗み出す例もありましたが、最近の攻撃者は標的を絞った正確なアプローチでCookieを盗み出しています。業務の多くがWebベースに移行しているため、攻撃者は盗み出したセッションCookieを使って、さまざまな悪意のある活動を行えます。たとえばクラウドインフラストラクチャを改ざんしたり、ビジネスメール詐欺を行ったり、他の従業員にマルウェアをダウンロードさせたり、製品のコードを書き換えたりすることさえできます。攻撃が思いつくことができるあらゆる攻撃が可能になるのです。さらに厄介なことに、この問題は簡単には解決できません。たとえば、サービスを提供する側でCookieの有効期限を短縮することは可能ですが、その場合、ユーザーに今よりも頻繁に再認証させる必要が生じます。また、攻撃者が正規のアプリケーションでCookieをスクレイピングするようになったため、企業はマルウェアの検出と動作解析を組み合わせて対応する必要があります」

セッションCookieの窃取の方法や攻撃者が盗み出したCookieを悪用してどのような活動を実行しているかについての詳細は、Sophos.comで「Cookie の窃取:新たな侵入経路」(https://news.sophos.com/ja-jp/cookie-stealing-the-new-perimeter-bypass-jp/)を入手して参照してください。

●参考情報

・Sophos X-Opsと最新の脅威調査(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)についての詳細は、Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)を購読するか、Sophos X-OpsのTwitter(https://twitter.com/sophosxops)をフォローしてください。

・最も長期にわたって存続しており、最も高度な犯罪市場の1つであるGenesisの詳細については、Sophos X-Opsが最近公開したレポート(https://news.sophos.com/ja-jp/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces-jp/)を参照してください。

・最も悪名高く、拡散している情報窃取型マルウェアの1つであるRaccoon Stealerの詳細については、こちらの記事(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)を参照してください。

・攻撃者のネットワークでの滞留時間や、新たな戦術、手法、手順(TTP)に関する詳細については、ソフォスの「アクティブアドバーサリープレイブック2022」(https://news.sophos.com/ja-jp/2022/06/07/active-adversary-playbook-2022-jp/)を参照してください。

●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

以上



配信元企業:ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 池袋・法律事務所で男性刺殺 容疑者は50歳同僚 「以前から恨み」

    2. 有村昆(44)の不倫未遂の相手とされるセクシー女優、ネットで「唯井まひろ」と噂されるも、本人は…

    3. 佐々木希が告白「多目的トイレ不倫」の夫渡部建と離婚の話し合い「すごい怖かったと思います」

    4. 「水着みたい」元NHKアナが“ピタピタ“私服ノースリ姿「妹がプレゼント…」に「センスよい」

    5. 「胸、大きくなってない?」元セクシー女優の上原亜衣、白ビキニ大胆ボディー披露「惚れてマウ」

    6. 元ジャンポケ斉藤慎二被告が告白、活動休止中に住んでいた県「ずっと休んでいた時間…」

    7. あの、酔いつぶれた33歳女優を膝枕して家までタクシーで送っていた「優しい」

    8. 31歳女性タレント「それぐらいの覚悟じゃないと私ヤラないよ?」交際前のカラダの関係で本音吐露

    9. 43歳元グラドル、30歳で発症した病名明かす「不安がずっと襲ってきて…」

    10. 給与天引きで初任給0円 ミャンマー人女性が「三ツ矢堂製麺」を提訴

    1. ガーシー、錦織圭の元モデル妻の暴露にネット騒然「なんで結婚したんだろ?」

    2. 有村昆(44)の不倫未遂の相手とされるセクシー女優、ネットで「唯井まひろ」と噂されるも、本人は…

    3. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    4. 再婚した旦那に不倫されてしまった飯島直子(51)衝撃的過ぎる黒歴史が発覚する事態に

    5. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    6. 山口真由氏は「しばらくお休みとなります」モーニングショー冒頭で羽鳥慎一アナが報告

    7. 【7月21日まで】最大50%分のふるなびコインがもらえる「ふるなびメガ還元祭」3つのキャンペーンと参加方法

    8. 池袋・法律事務所で男性刺殺 容疑者は50歳同僚 「以前から恨み」

    9. 元フジ渡邊渚、ビキニ姿の大胆露出で表紙ジャック!「完成した誌面を見て毎度のことながら…」

    10. ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」

    Tips

    1. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    2. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 中居正広氏の代理人弁護士が再度声明 フジ第三者委員会の対応に「強い憤りを禁じ得ません」

    2. 7月5日大災害の騒動に上島竜兵さん妻の広川ひかる「子供の頃の口裂け女の騒ぎ」を彷彿

    3. サンド富澤たけし「すごい怖くて」猛暑で“夏の異変”情報提供募る「まだ鳴いてなくない?」

    4. 上戸彩、写真集を自虐「誰が買うの?」寝起きノーメークショットに鶴瓶「きれいやんか」

    5. 【巨人】前日決勝弾のキャベッジが「6番左翼」 開幕6連勝狙うグリフィンが先発/スタメン

    6. 【ロッテ】山本大斗「みんなで絶対先制点って話していた」左翼席上段へ特大先制2ラン

    7. 毎熊克哉「『桐島です』」公開2日満席も「メッチャ面白いから見て下さいという映画ではない」

    8. 万博来場者、はしか感染を確認 6月21日にパビリオン8カ所回る

    9. 小林幸子“ラスボス”秘話明かす「ニコ動」知らずに出演…「ネットってこんなに速いの!?」

    10. 【高校野球】市川工・小国佐杜利主将が仁王立ち宣誓 自己採点200点「一生の思い出」/千葉

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.