全2784文字
PR

 Webサービスなどのアカウントを乗っ取るサイバー攻撃が相次いでいる。今回米マイクロソフトの研究者らは、特定のユーザーのアカウントを、そのユーザーが作成する前に乗っ取れることを示した。「事前ハイジャック攻撃」や「プリハイジャック攻撃」などと呼ぶ

 従来の攻撃では、攻撃者は正規ユーザーのIDやパスワードなどを盗み、正規ユーザーになりすましてそのアカウントを乗っ取る。そしてWebサービスに保存されているデータを盗んだり、Webサービスを悪用したりする。こういった攻撃では、ユーザーが作成して利用しているアカウントを、攻撃者が後から乗っ取る。当然と言えば当然だ。

 だがプリハイジャック攻撃は、該当のユーザーが作成する前のアカウントを事前に乗っ取るという。そんなことが可能なのだろうか。

被害者アドレスでアカウント作成

 事前ハイジャック攻撃は大きく3つの段階から構成される(図1)。第1段階では、攻撃者は攻撃対象者(被害者)のメールアドレスを使い、攻撃対象サービスのアカウントを作成する。そして第2段階が完了するのを待つ。

図1●事前ハイジャック攻撃は3段階で構成
図1●事前ハイジャック攻撃は3段階で構成
攻撃者は被害者のメールアドレスでアカウントを作成する。そのことを知らない被害者は自分が作成したアカウントと誤認して使い始める。すると攻撃者はそのアカウントにアクセスして、情報を盗んだり勝手な操作をしたりする。
[画像のクリックで拡大表示]

 第2段階では、被害者は攻撃対象サービスでアカウントを作成するか回復させる。つまり攻撃者が作成したアカウントを、自分が作成したアカウントと誤認して使い始める。

 そして第3段階で、攻撃者は被害者のアカウントにアクセスする。攻撃者が作った被害者のアカウントを、攻撃者と被害者で共有するイメージだ。被害者がある程度利用した後に、そのアカウントを攻撃者が奪うケースもある。

 第1段階の要件は2つある。1つは、被害者が攻撃対象サービスのアカウントを作成していないことである。さもないと攻撃者は事前にアカウントを作れない。

 もう1つが、被害者が近いうちにアカウントを作るWebサービスを予測することだ。そのWebサービスでアカウントを作り、被害者を待ち受ける必要がある。

 1つ目の要件は簡単に確かめられる。既にアカウントがあれば、攻撃者が作成しようとしたときにエラーなどが表示される。

 2つ目の要件は難易度が高そうだ。研究者らは論文において、被害者が既にアカウントを持っているWebサービスを調べ、同様のWebサービスや関連するWebサービスを狙う方法があるとしている。

 また、被害者が所属する組織が今後導入するWebサービスを明らかにしている場合には、そのWebサービスが攻撃対象になるという。

 世間一般に人気が高まっているWebサービスを狙うという手もある。特にリリースされたばかりのWebサービスなら、現在は被害者がアカウントを持っていないものの、近いうちに作成しようとする可能性が高い。