セッション Cookie を悪用して多要素認証を回避し、企業のリソースにアクセスする攻撃者が増加
- 2022年09月13日 14:30:00
- マネー
- Dream News
- コメント
<<報道資料>>
ソフォス株式会社
セッション Cookie を悪用して多要素認証を回避し、企業のリソースにアクセスする攻撃者が増加
~攻撃者は盗み出したセッション Cookie を用いて正規のユーザーになりすまし、ネットワーク上を自由に移動します~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、Sophos X-Opsチームが公開した「Cookieの窃取:新たな侵入経路」レポートの中で、攻撃者が盗み出したセッションCookieを悪用して多要素認証(MFA)を迂回し、企業のリソースにアクセスする事例が増えていることを本日、発表しました。いくつかのインシデントではCookieの窃取自体が高度な標的型攻撃になっており、攻撃者はネットワーク内の侵害されたシステムからCookieデータを収集し、悪意のある活動を隠ぺいするために正規の実行ファイルを使用していました。攻撃者が一度Cookieを使用して企業のWebベースリソース、あるいはクラウドリソースへのアクセスを得ると、そのアクセスはたとえばビジネスメール詐欺、別のシステムにアクセスするためのソーシャルエンジニアリング、さらにはデータやソースコードリポジトリの改変など、波状的な攻撃に悪用されます。
ソフォスの主任脅威リサーチャーであるSean Gallagherは、以下のように述べています。「最近1年間、攻撃者は導入が進むMFAを迂回するため、Cookieの窃取に注目するようになってきました。攻撃者は認証用Cookie(アクセストークン)の入手プロセスを簡素化するため、Raccoon Stealerのように新しく、改良された情報窃取型のマルウェアを使用するようになっています。セッションCookieを所持していれば、攻撃者は正規のユーザーになりすまして、ネットワーク内を自由に動き回ることができます」
セッションCookie(認証Cookie)とは、ユーザーがWeb上のリソースにログインする際にWebブラウザが保存する特殊なCookieです。攻撃者がセッションCookieを入手すると、新しいWebセッションにアクセストークンを注入する「Pass-the-Cookie」攻撃を仕掛けて、ユーザーが認証されているようにブラウザを騙して認証を回避します。これらのトークンはMFAを使用していても生成され、Webブラウザ上に保存されます。そのため、MFAを使用している場合であっても同様の攻撃を受けると認証を迂回されます。さらに厄介なことに、多くの正規のWeb ベース・アプリケーションでは、Cookieはほぼ無期限で保持されます。無期限ではないCookieも、ユーザーが意図的にサービスからログアウトした場合にのみその期限が切れます。
サイバー犯罪ではマルウェアがサービスとして提供されるようになっており、技術的なスキルのない攻撃者であっても容易に認証情報を窃取できるようになっています。たとえばRaccoon Stealer(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)のような情報窃取型トロイの木馬を購入するだけで、パスワードやCookieなどのデータを大量に収集し、Genesis(https://news.sophos.com/ja-jp/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces-jp/)などの犯罪市場で販売できます。ランサムウェアのオペレーターなど他の攻撃者は、これらのデータを購入し、攻撃に利用できる情報を選別して活用できます。
一方、ソフォスが最近調査した2件のインシデントでは、攻撃者はより標的型攻撃に近いアプローチを取っていました。ある事例では、攻撃者は標的のネットワーク内で数か月間にわたってMicrosoft EdgeブラウザからCookieを収集していました。この事例では、最初の侵害ではエクスプロイトキットが使用されていました。その後、攻撃者はCobalt StrikeとMeterpreterを組み合わせて正規のコンパイラツールを悪用し、アクセストークンを収集しています。もう一方の事例では、攻撃者は正規のMicrosoft Visual Studioコンポーネントを使用して、1 週間にわたってCookieファイルをスクレイピングする、悪意のあるペイロードを投下しました。
先述のGallagherは次のように述べています。「過去にはCookieを大量に盗み出す例もありましたが、最近の攻撃者は標的を絞った正確なアプローチでCookieを盗み出しています。業務の多くがWebベースに移行しているため、攻撃者は盗み出したセッションCookieを使って、さまざまな悪意のある活動を行えます。たとえばクラウドインフラストラクチャを改ざんしたり、ビジネスメール詐欺を行ったり、他の従業員にマルウェアをダウンロードさせたり、製品のコードを書き換えたりすることさえできます。攻撃が思いつくことができるあらゆる攻撃が可能になるのです。さらに厄介なことに、この問題は簡単には解決できません。たとえば、サービスを提供する側でCookieの有効期限を短縮することは可能ですが、その場合、ユーザーに今よりも頻繁に再認証させる必要が生じます。また、攻撃者が正規のアプリケーションでCookieをスクレイピングするようになったため、企業はマルウェアの検出と動作解析を組み合わせて対応する必要があります」
セッションCookieの窃取の方法や攻撃者が盗み出したCookieを悪用してどのような活動を実行しているかについての詳細は、Sophos.comで「Cookie の窃取:新たな侵入経路」(https://news.sophos.com/ja-jp/cookie-stealing-the-new-perimeter-bypass-jp/)を入手して参照してください。
●参考情報
・Sophos X-Opsと最新の脅威調査(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)についての詳細は、Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)を購読するか、Sophos X-OpsのTwitter(https://twitter.com/sophosxops)をフォローしてください。
・最も長期にわたって存続しており、最も高度な犯罪市場の1つであるGenesisの詳細については、Sophos X-Opsが最近公開したレポート(https://news.sophos.com/ja-jp/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces-jp/)を参照してください。
・最も悪名高く、拡散している情報窃取型マルウェアの1つであるRaccoon Stealerの詳細については、こちらの記事(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)を参照してください。
・攻撃者のネットワークでの滞留時間や、新たな戦術、手法、手順(TTP)に関する詳細については、ソフォスの「アクティブアドバーサリープレイブック2022」(https://news.sophos.com/ja-jp/2022/06/07/active-adversary-playbook-2022-jp/)を参照してください。
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
Loading...
アクセスランキング
56歳元祖バラドル、独身をいじられ「寂しくはないのよ」 “自宅を誰も知らない伝説”にも言及
リリー・フランキー番組の女性アシスタントが妊娠発表も番組休演は「妊娠報告が理由ではない」
【日本ハム】森香澄、ミニスカ大暴投「好きな人、私に教えて下さい…」
キケ・ヘルナンデス “大谷モデル”のファッションも不発…超オシャレコーデで爽やか球場入り
ロバーツ監督「できるだけ早く忘れたい試合」本拠地ワースト17点差大敗 大谷は2戦連続無安打
「今日絶対に日本滅亡しないに全財産賭けます」“7月5日日本大災難”の噂拡散うけ実業家が宣言
渡邊渚「写真集が回収騒ぎになるんじゃないかと怯えています(笑)」フジ退社後の10カ月を回想
BTS・SUGAと元ドジャース朴賛浩氏がアスレチックスの部分オーナーに 韓国メディア伝える
【未体験の冷涼感!】RTDタイプの缶入り焼酎ハイボール「彩響ソーダ」が数量限定で新発売
大谷翔平、第4打席は二ゴロで3打数ノーヒット チームは大量18失点で大敗ムード
池袋・法律事務所で男性刺殺 容疑者は50歳同僚 「以前から恨み」
有村昆(44)の不倫未遂の相手とされるセクシー女優、ネットで「唯井まひろ」と噂されるも、本人は…
佐々木希が告白「多目的トイレ不倫」の夫渡部建と離婚の話し合い「すごい怖かったと思います」
「水着みたい」元NHKアナが“ピタピタ“私服ノースリ姿「妹がプレゼント…」に「センスよい」
「胸、大きくなってない?」元セクシー女優の上原亜衣、白ビキニ大胆ボディー披露「惚れてマウ」
元ジャンポケ斉藤慎二被告が告白、活動休止中に住んでいた県「ずっと休んでいた時間…」
あの、酔いつぶれた33歳女優を膝枕して家までタクシーで送っていた「優しい」
31歳女性タレント「それぐらいの覚悟じゃないと私ヤラないよ?」交際前のカラダの関係で本音吐露
43歳元グラドル、30歳で発症した病名明かす「不安がずっと襲ってきて…」
給与天引きで初任給0円 ミャンマー人女性が「三ツ矢堂製麺」を提訴
ガーシー、錦織圭の元モデル妻の暴露にネット騒然「なんで結婚したんだろ?」
有村昆(44)の不倫未遂の相手とされるセクシー女優、ネットで「唯井まひろ」と噂されるも、本人は…
小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然
再婚した旦那に不倫されてしまった飯島直子(51)衝撃的過ぎる黒歴史が発覚する事態に
二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」
山口真由氏は「しばらくお休みとなります」モーニングショー冒頭で羽鳥慎一アナが報告
【7月21日まで】最大50%分のふるなびコインがもらえる「ふるなびメガ還元祭」3つのキャンペーンと参加方法
池袋・法律事務所で男性刺殺 容疑者は50歳同僚 「以前から恨み」
元フジ渡邊渚、ビキニ姿の大胆露出で表紙ジャック!「完成した誌面を見て毎度のことながら…」
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
Tips
おすすめ
56歳元祖バラドル、独身をいじられ「寂しくはないのよ」 “自宅を誰も知らない伝説”にも言及
リリー・フランキー番組の女性アシスタントが妊娠発表も番組休演は「妊娠報告が理由ではない」
BTS・SUGAと元ドジャース朴賛浩氏がアスレチックスの部分オーナーに 韓国メディア伝える
【日本ハム】森香澄、ミニスカ大暴投「好きな人、私に教えて下さい…」
ロバーツ監督「できるだけ早く忘れたい試合」本拠地ワースト17点差大敗 大谷は2戦連続無安打
キケ・ヘルナンデス “大谷モデル”のファッションも不発…超オシャレコーデで爽やか球場入り
「今日絶対に日本滅亡しないに全財産賭けます」“7月5日日本大災難”の噂拡散うけ実業家が宣言
渡邊渚「写真集が回収騒ぎになるんじゃないかと怯えています(笑)」フジ退社後の10カ月を回想
【未体験の冷涼感!】RTDタイプの缶入り焼酎ハイボール「彩響ソーダ」が数量限定で新発売
大谷翔平、第4打席は二ゴロで3打数ノーヒット チームは大量18失点で大敗ムード