セッション Cookie を悪用して多要素認証を回避し、企業のリソースにアクセスする攻撃者が増加
- 2022年09月13日 14:30:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
セッション Cookie を悪用して多要素認証を回避し、企業のリソースにアクセスする攻撃者が増加
~攻撃者は盗み出したセッション Cookie を用いて正規のユーザーになりすまし、ネットワーク上を自由に移動します~
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、Sophos X-Opsチームが公開した「Cookieの窃取:新たな侵入経路」レポートの中で、攻撃者が盗み出したセッションCookieを悪用して多要素認証(MFA)を迂回し、企業のリソースにアクセスする事例が増えていることを本日、発表しました。いくつかのインシデントではCookieの窃取自体が高度な標的型攻撃になっており、攻撃者はネットワーク内の侵害されたシステムからCookieデータを収集し、悪意のある活動を隠ぺいするために正規の実行ファイルを使用していました。攻撃者が一度Cookieを使用して企業のWebベースリソース、あるいはクラウドリソースへのアクセスを得ると、そのアクセスはたとえばビジネスメール詐欺、別のシステムにアクセスするためのソーシャルエンジニアリング、さらにはデータやソースコードリポジトリの改変など、波状的な攻撃に悪用されます。
ソフォスの主任脅威リサーチャーであるSean Gallagherは、以下のように述べています。「最近1年間、攻撃者は導入が進むMFAを迂回するため、Cookieの窃取に注目するようになってきました。攻撃者は認証用Cookie(アクセストークン)の入手プロセスを簡素化するため、Raccoon Stealerのように新しく、改良された情報窃取型のマルウェアを使用するようになっています。セッションCookieを所持していれば、攻撃者は正規のユーザーになりすまして、ネットワーク内を自由に動き回ることができます」
セッションCookie(認証Cookie)とは、ユーザーがWeb上のリソースにログインする際にWebブラウザが保存する特殊なCookieです。攻撃者がセッションCookieを入手すると、新しいWebセッションにアクセストークンを注入する「Pass-the-Cookie」攻撃を仕掛けて、ユーザーが認証されているようにブラウザを騙して認証を回避します。これらのトークンはMFAを使用していても生成され、Webブラウザ上に保存されます。そのため、MFAを使用している場合であっても同様の攻撃を受けると認証を迂回されます。さらに厄介なことに、多くの正規のWeb ベース・アプリケーションでは、Cookieはほぼ無期限で保持されます。無期限ではないCookieも、ユーザーが意図的にサービスからログアウトした場合にのみその期限が切れます。
サイバー犯罪ではマルウェアがサービスとして提供されるようになっており、技術的なスキルのない攻撃者であっても容易に認証情報を窃取できるようになっています。たとえばRaccoon Stealer(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)のような情報窃取型トロイの木馬を購入するだけで、パスワードやCookieなどのデータを大量に収集し、Genesis(https://news.sophos.com/ja-jp/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces-jp/)などの犯罪市場で販売できます。ランサムウェアのオペレーターなど他の攻撃者は、これらのデータを購入し、攻撃に利用できる情報を選別して活用できます。
一方、ソフォスが最近調査した2件のインシデントでは、攻撃者はより標的型攻撃に近いアプローチを取っていました。ある事例では、攻撃者は標的のネットワーク内で数か月間にわたってMicrosoft EdgeブラウザからCookieを収集していました。この事例では、最初の侵害ではエクスプロイトキットが使用されていました。その後、攻撃者はCobalt StrikeとMeterpreterを組み合わせて正規のコンパイラツールを悪用し、アクセストークンを収集しています。もう一方の事例では、攻撃者は正規のMicrosoft Visual Studioコンポーネントを使用して、1 週間にわたってCookieファイルをスクレイピングする、悪意のあるペイロードを投下しました。
先述のGallagherは次のように述べています。「過去にはCookieを大量に盗み出す例もありましたが、最近の攻撃者は標的を絞った正確なアプローチでCookieを盗み出しています。業務の多くがWebベースに移行しているため、攻撃者は盗み出したセッションCookieを使って、さまざまな悪意のある活動を行えます。たとえばクラウドインフラストラクチャを改ざんしたり、ビジネスメール詐欺を行ったり、他の従業員にマルウェアをダウンロードさせたり、製品のコードを書き換えたりすることさえできます。攻撃が思いつくことができるあらゆる攻撃が可能になるのです。さらに厄介なことに、この問題は簡単には解決できません。たとえば、サービスを提供する側でCookieの有効期限を短縮することは可能ですが、その場合、ユーザーに今よりも頻繁に再認証させる必要が生じます。また、攻撃者が正規のアプリケーションでCookieをスクレイピングするようになったため、企業はマルウェアの検出と動作解析を組み合わせて対応する必要があります」
セッションCookieの窃取の方法や攻撃者が盗み出したCookieを悪用してどのような活動を実行しているかについての詳細は、Sophos.comで「Cookie の窃取:新たな侵入経路」(https://news.sophos.com/ja-jp/cookie-stealing-the-new-perimeter-bypass-jp/)を入手して参照してください。
●参考情報
・Sophos X-Opsと最新の脅威調査(https://news.sophos.com/ja-jp/2022/07/20/behind-the-research-the-making-of-ooda-x-ops-takes-on-burgeoning-sql-server-attacks-jp/)についての詳細は、Sophos X-Opsのブログ(https://news.sophos.com/ja-jp/)を購読するか、Sophos X-OpsのTwitter(https://twitter.com/sophosxops)をフォローしてください。
・最も長期にわたって存続しており、最も高度な犯罪市場の1つであるGenesisの詳細については、Sophos X-Opsが最近公開したレポート(https://news.sophos.com/ja-jp/2022/08/04/genesis-brings-polish-to-stolen-credential-marketplaces-jp/)を参照してください。
・最も悪名高く、拡散している情報窃取型マルウェアの1つであるRaccoon Stealerの詳細については、こちらの記事(https://news.sophos.com/ja-jp/2021/08/12/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more-jp/)を参照してください。
・攻撃者のネットワークでの滞留時間や、新たな戦術、手法、手順(TTP)に関する詳細については、ソフォスの「アクティブアドバーサリープレイブック2022」(https://news.sophos.com/ja-jp/2022/06/07/active-adversary-playbook-2022-jp/)を参照してください。
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
日テレ金曜ロードショー“峰不二子”増山江威子さん追悼「時にはキュートに時にはセクシーに」
大嶋みく「こんなに大きかったっけ?」ビキニのひも解けそうな限界ショットにSNS騒然
首都高の追突事故、死亡した男性3人の身元判明 埼玉・戸田
下咽頭がん療養から復帰した見栄晴、身体の変化明かし「新緑の季節に新芽が生えて来た気分です」
「10代」「天女」51歳タレントの激変ピンクヘア和装に衝撃の声
じゃらんの北陸応援割第二弾、6月7日10時開始 新潟旅行が最大半額に
【日本代表】鎌田大地、ラツィオ退団で有力視されるプレミア移籍に言葉濁すも「早く決めたい」
増山江威子さん、23年6月に毒蝮三太夫YouTube出演「エピソードとなったら話は尽きない」
ホンダの不正対象は22車種、325万台 「フィット」など
【阪神】4日からの楽天3連戦、甲子園チケットはすべて完売 当日券は販売せず
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
浜崎あゆみ、子供の写真公開に疑いの声止まず「よそのお宅の子供?」
YouTuberジュキヤの動画企画が大炎上「普通に痴漢」「気持ち悪すぎ」
大谷翔平被弾投手が悪態ついて退場処分!次打者フリーマンと対戦中に判定巡り塁審と口論
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
千原せいじのシエラレオネ巡る発言 NPO代表理事が公式謝罪忠告「最悪、国家間の問題に発展」
大谷翔平10試合ぶり14号 シティフィールド初アーチ、26球場目は自らの日本人記録更新
大谷に被弾→次打者判定で審判と口論→退場→「チーム、自分も最悪」→戦力外
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
大原櫻子、ガーシー暴露後初のSNS投稿に賛否の声「イメージ最悪になった」
日テレ金曜ロードショー“峰不二子”増山江威子さん追悼「時にはキュートに時にはセクシーに」
大嶋みく「こんなに大きかったっけ?」ビキニのひも解けそうな限界ショットにSNS騒然
首都高の追突事故、死亡した男性3人の身元判明 埼玉・戸田
下咽頭がん療養から復帰した見栄晴、身体の変化明かし「新緑の季節に新芽が生えて来た気分です」
「10代」「天女」51歳タレントの激変ピンクヘア和装に衝撃の声
じゃらんの北陸応援割第二弾、6月7日10時開始 新潟旅行が最大半額に
【日本代表】鎌田大地、ラツィオ退団で有力視されるプレミア移籍に言葉濁すも「早く決めたい」
増山江威子さん、23年6月に毒蝮三太夫YouTube出演「エピソードとなったら話は尽きない」
ホンダの不正対象は22車種、325万台 「フィット」など
【阪神】4日からの楽天3連戦、甲子園チケットはすべて完売 当日券は販売せず