フィッシングメールを使って、認証情報を不正に入手するには、それなりの手間がかかる。それに対して、標的に関する既存の情報を利用して標的になりすまして、標的がDropbox、LinkedIn、instagram、WordPress.com 、Zoomなどの人気のあるWebサービスにアカウントを開設する前に乗っ取ってしまう新しい攻撃手法が発見されている。
まず、最初に疑問に思うことは、「まだ存在しないアカウントをどうやって乗っ取るのだろうか?」ではないだろうか。マイクロソフト・セキュリティリサーチセンターが発表した最新の調査報告書は、この疑問に答えている。この調査報告書では、「アカウントプリハイジャック」と呼ばれるこの新しい攻撃手法について説明している。この攻撃手法の前提としては、攻撃者が狙った標的の個人情報を事前に持っていることである。この新しい手法は、例えば、Office 365アカウントなどの認証情報を入力させるようと標的を巧みに誘導する標的型のスピアフィッシングなどとは根本的に異なる。この新種の手法では、標的がまだアカウントを開設していないWebサービスプラットフォームにアクセスし、標的の名前でアカウントを作成してしまうのである。
この調査報告書では、この新種の手法が上手くいくのは、限られていると記述している。ここに、比較的に上手くいった2つの例を説明する。
- アカウント作成の2つのルート - WebサービスがID連携とサービス固有の従来型の設定方法の2つサポートしている場合、攻撃者はこの2つのアカウントを同時に作成する。狙った標的のメールアドレスを使用して、Webサービスがこの2つのアカウントを統合し、標的と攻撃者の両方にアクセスできるようにすることで、なりすましを可能にする。
- 期限切れのセッション - 攻撃者は、プリハイジャックしたアカウントにサインオンし、パスワードをリセットするためのサービス通知を標的に送り付ける。認証されたユーザーがパスワードをリセットし、アカウントを確定した後も、Webサービスが古いセッションをアクティブなままに維持する脆弱性を悪用する。
どのような方法であれ、攻撃者の目的は、狙った標的のメールアドレスに関連付けられた新しいアカウントへのアクセスを可能にすることである。結果として、攻撃者は、上手くいけば、FacebookなどのWebサービスプラットフォーム上で、ユーザーとしてなりすまして、侵入したアカウントを使用することができる。マイクロソフトのリサーチャーは、75のよく使われているWebサービスをチェックした。その結果、これらのうち少なくとも35は、アカウントプリハイジャック攻撃に対して1つまたは複数の脆弱性であることが確認している。
このような新種のテクニックについて常に認識することは必要である。特に、Facebook、Twitter、Linkedin、instagram、Zoom、Amazonなどの人気のあるWebベースのサービスは多数あるが、まだアカウントを開設していない場合は、要注意である。是非、セキュリティ意識向上トレーニング を受講していだだきたい。セキュリティ意識向上トレーニングを通して、従業員の方々が、設定していないアカウントのパスワードリセット通知を受け取ったら、これは疑わしいレッドフラグであることを従業員一人ひとりが理解できるようにすることである。
原典:Stu Sjouwerman著 2022年6月20日発信 https://blog.knowbe4.com/pre-hijacking-of-online-accounts-are-the-latest-method-for-attackers-to-impersonate-and-target
