Instagram・Zoom・LinkedInなどでアカウントの「事前ハイジャック」が可能な脆弱性が発見される

マイクロソフト・セキュリティ・レスポンス・センター(MSRC)が支援したセキュリティ調査により、アクセス数が多いさまざまなサービスに、ユーザーがアカウントを作成する前にアカウントをハッキングしておく「アカウント事前乗っ取り攻撃(account pre-hijacking attacks)」に対する脆弱(ぜいじゃく)性があることが判明しました。

Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web
(PDFファイル)https://arxiv.org/pdf/2205.10174.pdf

Account pre-hijacking attacks possible on many online services - Help Net Security
https://www.helpnetsecurity.com/2022/05/24/account-pre-hijacking/

Dozens of high-traffic websites vulnerable to ‘account pre-hijacking’, study finds | The Daily Swig
https://portswigger.net/daily-swig/dozens-of-high-traffic-websites-vulnerable-to-account-pre-hijacking-study-finds

「事前乗っ取り攻撃」は、MicrosoftやGoogleなどのアカウントを使って別のサービスのアカウント作成ができるシングルサインオンを悪用することで行われます。メールアドレスとパスワードを使う古典的なアカウント開設方法の「クラシック」と、サービス間で認証情報の連携を行う「フェデレーション」の間にあるセキュリティの隙を突くことで、悪意のある攻撃者は被害者がアカウントを作成する前から侵入経路を確立させておくことが可能とのこと。

具体的には、次の5つの方法が特定されました。

◆クラシック・フェデレーション統合攻撃
この攻撃では、まず攻撃者が被害者のメールアドレスを使う「クラシック」でアカウントを作成します。その後、被害者が同じメールアドレスを使って「フェデレーション」でアカウントを開設すると、2つのアカウントが統合され、攻撃者は被害者のアカウントにアクセスできるようになってしまいます。

◆失効していないセッションID攻撃
この攻撃は、ユーザーがパスワードをリセットしても、アカウントからサインアウトされないという脆弱性を突いたものです。この攻撃ではまず、攻撃者は「クラシック」でアカウントを作成した上で、定期的に操作をするスクリプトなどを使ってアクセスを維持したままにしておきます。

その後、被害者が同じメールアドレスでアカウントを開設しようとすると、既にアカウントがあると表示されてできません。「ひょっとすると前にアカウントを作ったけど忘れていたのかも」と思った被害者は、アカウントの復元によりパスワードをリセットしてサービスを利用しますが、攻撃者のセッションも有効なままなので、被害者のデータは攻撃者に筒抜けになります。

◆トロイの木馬ID攻撃
この攻撃では、攻撃者はまず被害者のメールアドレスと自前のパスワードを使ってアカウントを作成しておきます。その後、攻撃者はアカウントに自分のフェデレーションIDを追加しておきます。その後、被害者は「期限が切れていないセッションID攻撃」と同じ仕組みでパスワードを復元してアカウントを使用しますが、攻撃者も自分のIDでアカウントにアクセスできます。つまり、この手口では事前にアカウントに追加しておいたIDがトロイの木馬として機能することになります。

◆失効していないメールアドレス変更攻撃
攻撃者は、まず被害者のメールアドレスを使ってアカウントを作成した上で、そのメールアドレスを自分のメールアドレスに変更する手続きを開始し、変更途中のまま放置します。すると、アカウントの中では被害者のメールアドレスと攻撃者のメールアドレスが紐付けられたままになります。攻撃者はその後、被害者がアカウントを復元して使い始めた後で改めてメールアドレス変更手続きを完了させて、アカウントを乗っ取ります。

◆非検証型IdP攻撃
IdPとは、ユーザーIDを保存するIDプロバイダーのことです。攻撃者はまず、メールアドレスの所有者を確認しないIdPを利用してフェデレーションIDを作成した上でアカウントを作成し、メールアドレスを被害者のメールアドレスに変更しておきます。その後、被害者が自分のメールアドレスとパスワードでアカウントを開設すると、サービス側はメールアドレスが同じ2つのアカウントを統合してしまうので、攻撃者は被害者のアカウントにアクセスできるようになります。

今回の研究で、独立系のセキュリティ研究者であるAvinash Sudhodanan氏とMSRCのAndrew Paverd氏がトラフィックが多い75のサイトを分析したところ、少なくとも35のサービスでアカウントの「事前乗っ取り攻撃」ができる状態だったことが分かりました。これらのサービスには、Dropbox、Instagram、LinkedIn、WordPress.com、Zoomなどの有名サービスが含まれていました。研究チームは、既にこれらのサービスに「事前乗っ取り攻撃」について通報しており、各サービスは修正を実施しているとのこと。

研究チームは、サービス側がこのようなハッキングを防ぐための教訓として、「ユーザーが提供したメールアドレスや電話番号などのIDで新規アカウントを作成したり、それらを既存のアカウントに追加したりする前に、そのIDが本当にユーザーのものか確認すること」を挙げています。

研究チームはさらに、サービスを利用する一般のユーザーに対しては、多要素認証を有効化するように推奨しました。これにより、「事前乗っ取り攻撃」のほとんどを未然に防ぐことが可能になります。また、作った覚えのないアカウントに関するメールが届くのはハッキングの前兆の1つなので、無視せずにそのサービスに通報したほうがいいと話しました。