Webサービスなどのアカウントを乗っ取るサイバー攻撃が相次いでいる。今回米Microsoft(マイクロソフト)の研究者らは、特定のユーザーのアカウントを、そのユーザーが作成する前に乗っ取れることを示した。「事前ハイジャック攻撃」や「プリハイジャック攻撃」などと呼ぶ。
従来の攻撃では、攻撃者は正規ユーザーのIDやパスワードなどを盗み、正規ユーザーになりすましてそのアカウントを乗っ取る。そしてWebサービスに保存されているデータを盗んだり、Webサービスを悪用したりする。
こういった攻撃では、ユーザーが作成して利用しているアカウントを、攻撃者が後から乗っ取る。当然と言えば当然だ。だが今回は、まだ作成もされていないアカウントを事前に乗っ取るという。そんなことが可能なのだろうか。
被害者のメールアドレスでアカウントを作成
事前ハイジャック攻撃は大きく3つの段階から構成される。第1段階では、攻撃者は攻撃対象者(被害者)のメールアドレスを使い、攻撃対象サービスのアカウントを作成する。そして第2段階が完了するのを待つ。
第2段階では、被害者は攻撃対象サービスでアカウントを作成するか回復させる。つまり攻撃者が作成したアカウントを、自分が作成したアカウントと誤認して使い始める。
そして第3段階で、攻撃者は被害者のアカウントにアクセスする。攻撃者が作った被害者のアカウントを、攻撃者と被害者で共有するイメージだ。被害者がある程度利用した後に、そのアカウントを攻撃者が奪うケースもある。
第1段階の要件は2つある。1つは、被害者が攻撃対象サービスのアカウントを作成していないことである。さもないと攻撃者は事前にアカウントを作れない。
もう1つが、被害者が近いうちにアカウントを作るWebサービスを予測することだ。そのWebサービスでアカウントを作り、被害者を待ち受ける必要がある。
1つ目の要件は簡単に確かめられる。既にアカウントがあれば、攻撃者が作成しようとしたときにエラーなどが表示される。
2つ目の要件は難易度が高そうだ。研究者らは論文において、被害者が既にアカウントを持っているWebサービスを調べ、同様のWebサービスや関連するWebサービスを狙う方法があるとしている。
また、被害者が所属する組織が今後導入するWebサービスを明らかにしている場合には、そのWebサービスが攻撃対象になるという。
世間一般に人気が高まっているWebサービスを狙うという手もある。特にリリースされたばかりのWebサービスなら、現在は被害者がアカウントを持っていないものの、近いうちに作成しようとする可能性が高い。
