starthome-logo 無料ゲーム
starthome-logo

セッション Cookie を悪用して多要素認証を回避し、企業のリソースにアクセスする攻撃者が増加

2022年9月13日
<<報道資料>>
ソフォス株式会社

セッション Cookie を悪用して多要素認証を回避し、企業のリソースにアクセスする攻撃者が増加

~攻撃者は盗み出したセッション Cookie を用いて正規のユーザーになりすまし、ネットワーク上を自由に移動します~

次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、Sophos X-Opsチームが公開した「Cookieの窃取:新たな侵入経路」レポートの中で、攻撃者が盗み出したセッションCookieを悪用して多要素認証(MFA)を迂回し、企業のリソースにアクセスする事例が増えていることを本日、発表しました。いくつかのインシデントではCookieの窃取自体が高度な標的型攻撃になっており、攻撃者はネットワーク内の侵害されたシステムからCookieデータを収集し、悪意のある活動を隠ぺいするために正規の実行ファイルを使用していました。攻撃者が一度Cookieを使用して企業のWebベースリソース、あるいはクラウドリソースへのアクセスを得ると、そのアクセスはたとえばビジネスメール詐欺、別のシステムにアクセスするためのソーシャルエンジニアリング、さらにはデータやソースコードリポジトリの改変など、波状的な攻撃に悪用されます。

ソフォスの主任脅威リサーチャーであるSean Gallagherは、以下のように述べています。「最近1年間、攻撃者は導入が進むMFAを迂回するため、Cookieの窃取に注目するようになってきました。攻撃者は認証用Cookie(アクセストークン)の入手プロセスを簡素化するため、Raccoon Stealerのように新しく、改良された情報窃取型のマルウェアを使用するようになっています。セッションCookieを所持していれば、攻撃者は正規のユーザーになりすまして、ネットワーク内を自由に動き回ることができます」

セッションCookie(認証Cookie)とは、ユーザーがWeb上のリソースにログインする際にWebブラウザが保存する特殊なCookieです。攻撃者がセッションCookieを入手すると、新しいWebセッションにアクセストークンを注入する「Pass-the-Cookie」攻撃を仕掛けて、ユーザーが認証されているようにブラウザを騙して認証を回避します。これらのトークンはMFAを使用していても生成され、Webブラウザ上に保存されます。そのため、MFAを使用している場合であっても同様の攻撃を受けると認証を迂回されます。さらに厄介なことに、多くの正規のWeb ベース・アプリケーションでは、Cookieはほぼ無期限で保持されます。無期限ではないCookieも、ユーザーが意図的にサービスからログアウトした場合にのみその期限が切れます。

サイバー犯罪ではマルウェアがサービスとして提供されるようになっており、技術的なスキルのない攻撃者であっても容易に認証情報を窃取できるようになっています。たとえばRaccoon Stealer(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)のような情報窃取型トロイの木馬を購入するだけで、パスワードやCookieなどのデータを大量に収集し、Genesis(https://news.sophos.com/ja-jp/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces-jp/)などの犯罪市場で販売できます。ランサムウェアのオペレーターなど他の攻撃者は、これらのデータを購入し、攻撃に利用できる情報を選別して活用できます。

一方、ソフォスが最近調査した2件のインシデントでは、攻撃者はより標的型攻撃に近いアプローチを取っていました。ある事例では、攻撃者は標的のネットワーク内で数か月間にわたってMicrosoft EdgeブラウザからCookieを収集していました。この事例では、最初の侵害ではエクスプロイトキットが使用されていました。その後、攻撃者はCobalt StrikeとMeterpreterを組み合わせて正規のコンパイラツールを悪用し、アクセストークンを収集しています。もう一方の事例では、攻撃者は正規のMicrosoft Visual Studioコンポーネントを使用して、1 週間にわたってCookieファイルをスクレイピングする、悪意のあるペイロードを投下しました。

先述のGallagherは次のように述べています。「過去にはCookieを大量に盗み出す例もありましたが、最近の攻撃者は標的を絞った正確なアプローチでCookieを盗み出しています。業務の多くがWebベースに移行しているため、攻撃者は盗み出したセッションCookieを使って、さまざまな悪意のある活動を行えます。たとえばクラウドインフラストラクチャを改ざんしたり、ビジネスメール詐欺を行ったり、他の従業員にマルウェアをダウンロードさせたり、製品のコードを書き換えたりすることさえできます。攻撃が思いつくことができるあらゆる攻撃が可能になるのです。さらに厄介なことに、この問題は簡単には解決できません。たとえば、サービスを提供する側でCookieの有効期限を短縮することは可能ですが、その場合、ユーザーに今よりも頻繁に再認証させる必要が生じます。また、攻撃者が正規のアプリケーションでCookieをスクレイピングするようになったため、企業はマルウェアの検出と動作解析を組み合わせて対応する必要があります」

セッションCookieの窃取の方法や攻撃者が盗み出したCookieを悪用してどのような活動を実行しているかについての詳細は、Sophos.comで「Cookie の窃取:新たな侵入経路」(https://news.sophos.com/ja-jp/cookie-stealing-the-new-perimeter-bypass-jp/)を入手して参照してください。

●参考情報

・Sophos X-Opsと最新の脅威調査(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)についての詳細は、Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)を購読するか、Sophos X-OpsのTwitter(https://twitter.com/sophosxops)をフォローしてください。

・最も長期にわたって存続しており、最も高度な犯罪市場の1つであるGenesisの詳細については、Sophos X-Opsが最近公開したレポート(https://news.sophos.com/ja-jp/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces-jp/)を参照してください。

・最も悪名高く、拡散している情報窃取型マルウェアの1つであるRaccoon Stealerの詳細については、こちらの記事(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)を参照してください。

・攻撃者のネットワークでの滞留時間や、新たな戦術、手法、手順(TTP)に関する詳細については、ソフォスの「アクティブアドバーサリープレイブック2022」(https://news.sophos.com/ja-jp/2022/06/07/active-adversary-playbook-2022-jp/)を参照してください。

●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

以上



配信元企業:ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 細木数子さんに「うるせーな、クソババア!」暴言吐いた62歳女性芸人「上から言われたので…」

    2. <1分で解説>福山雅治さん、フジ「不適切会合」への出席認める

    3. 人気歌手luzさん急逝 2週間前に最後のSNS投稿「本当に全てに限界来てる」

    4. 大谷翔平、2年連続50本塁打ならとてつもない偉業 投手有利な本拠地球場&投打二刀流に価値

    5. マギー、黒ビキニ姿の自撮りショット披露に反響「現地調達も」

    6. 笑福亭鶴瓶、南青山のマンション“衝撃の家賃”を告白「タモリさんに“バカじゃないの”って」

    7. 元「NHKの峰不二子」が独立5カ月で初グラビア挑戦「どきどき」にX歓喜「こちらもドキドキ」

    8. 36歳金髪女性タレントのタトゥー姿に騒然!?「よく見たら」「ババシャツか」Xツッコミ殺到

    9. 夫急死の小島瑠璃子、子どもとのショットに反響「何故か涙が」「がんばれママ」

    10. 有吉弘行「腹立つわ」赤裸々告白「国宝」初鑑賞で〝クソ客〟遭遇「ラブシーン始まって興奮して…」

    1. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    2. 新幹線“キセル乗車” 驚がくの手口とは

    3. オードリー若林結婚で嫁の名前がソッコーで特定する動き始まる

    4. 【おすすめアニメ50選】完結済み!定番から最新作まで!

    5. 水卜麻美アナ、生放送で突如号泣 スタジオ騒然 大粒の涙ボロボロこぼし「ごめんなさい…」

    6. 大谷翔平と代理人バレロ氏が訴えられる、ハワイの高級リゾート住宅建設プロジェクトを巡り

    7. 二階堂ふみとカズレーザーが結婚を発表

    8. あのちゃんが実名告白「もっと笑顔にしたい」38歳元アナ女優「めっちゃ暗い、何かたまってる」

    9. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    10. サンモニ膳場貴子が「失言生謝罪」の青木理氏に“17文字”でコメント

    Tips

    1. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    2. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 「FC2」創業者に有罪判決 わいせつ動画サイトを開設、制限せず

    2. 【巨人】特大2ランリチャード「マー君さんを援護できてよかった」田中将大を強力援護

    3. 山陽新幹線・東広島駅で通過中のぞみが人と接触 運転見合わせ

    4. キリンビール「ジョニーウォーカー ブラックルビー」が8月25日から出荷再開

    5. 日本、パレスチナに5億円の食糧支援 WFP通じ 餓死者の増加で

    6. 1万ポイント還元!LINEヤフーが三井住友カードのクレカ申込キャンペーンを実施中

    7. 連合・芳野会長、石破首相の賃上げ発信「評価に値する」

    8. 【甲子園】県岐阜商はハンディ背負う横山温大とともに成長「同じような子も自信を」勇気与える選手に

    9. 【甲子園】日大三・近藤優樹「身長低くても」150キロ超えなくても…緩急自在投球で14年ぶり決勝

    10. 【日本ハム】日向坂46藤嶌果歩、スカートひらりノーバン投球 ファーストピッチで華麗なフォーム

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.