この記事を読むために必要な時間は約3分(1023文字)です。
pass-the-cookie攻撃とは
- 投稿日:2021-01-26
- 表示:1,192PV
- カテゴリ:攻撃方法
少し前に「多段階(2段階)認証と多要素(2要素)認証とは?」というタイトルで、「多要素認証」のお話をしました。
今月(2021年1月)に入ってから、この「多要素認証」を用いても不正ログインを防げないというお話が出ていましたので、今回お話をします。
目次
今回の多要素認証での不正ログインの攻撃方法
今回はお話に上がった攻撃の件に限定して、次のお話をします。- 攻撃名
- 攻撃方法
セッションハイジャックについては、次回お話をします。
攻撃名
「pass-the-cookie攻撃」といいます。攻撃方法
攻撃方法は大きく分けると次の2段階- 何らかの方法でCookie(クッキー)を入手
- 入手したクッキー情報を利用して認証をせずにサービスを利用
なぜ認証をしないのにサービスが利用できるのか?
今回の攻撃が通用するのは、Cookie(クッキー)にログイン情報が関連付けられている場合です。ユーザーがログインしたという情報がCookieにあるので、その情報を利用することにより、ログインをせず(=Pass)に、サービスが利用できます。
すでにログインしているのですから、サービスが利用できるのはそれほど不思議ではありません。
というより、ログインしたのに、再度ログインしていては、サービスが受けられません。
このため、サービスを提供する側で、ログインしたという情報をCookieに保管して通信し、サービスが利用できる状態にしています。
昔からある攻撃
ここまでのお話で、分かる方もいらっしゃるかもしれません。ログインするときに顔認証など、どんな新しい技術を使っても、「ログインしたという情報」が盗まれているので、意味がないのです。
この「ログインしたという情報」を盗む手法じたいは以前からあり、また、Cookieの情報を盗む方法も以前からありました。
このため、セキュリティ対策ソフトを入れているだけで、対応できている場合もあります。
この手法の類型が「セッションハイジャック」です。
次回は、「セッションハイジャック」のお話です。
タグ:セッションハイジャック, 不正ログイン
| 広告枠・・・広告やリンク先の保証はしません |
|---|