APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

セッションCookieを奪取する攻撃への対策について

はじめに

こんにちは、エーピーコミュニケーションズiTOC事業部 BzD部 0-WANの岸上です。 セキュリティ分野をメインに、自身のCSIRT及びSOCの経験を活かし、幅広く活動を行うエンジニアです。 今回は検知・防御が難しいAITM(Adversary in The Middle)及びPass-the-Cookie手法を用いたフィッシング攻撃について記載したいと思います。

参考Webサイト:

https://jpn.nec.com/cybersecurity/blog/221007/index.html

MFA(多要素認証)を突破するフィッシング攻撃の調査 - セキュリティ研究センターブログ

https://cybersecurity-jp.com/column/80980#AiTM-3

https://www.okta.com/jp/blog/2022/10/the-need-for-phishing-resistant-multi-factor-authentication/

AITM(Adversary in The Middle)及びPass-the-Cookie手法を用いたフィッシング攻撃とは

Pass the Cookie攻撃: 主にフィッシングやマルウェアを用いてセッションcookieを奪取する攻撃。

AITM攻撃: 被害者(エンドユーザ)と正規のウェブサーバー間の通信を中間で傍受。セッションCookieだけでなく、他の認証情報や通信内容も盗むことが可能。

認証が完了した後のセッションcookieを攻撃者が盗み出す攻撃のこと。 フィッシングメールには不審サイトへ繋がるリンクやファイル等が添付されており、アクセスするとO365のような日常的に利用しているサービス等のログイン画面が表示される。 ユーザが気づかず認証を行ってしまった場合、攻撃者は認証情報の奪取に成功し、攻撃者自身の端末から正規のユーザを装い対象のサービスにログインし機密情報を持ち出されてしまう可能性がある。

具体的な攻撃の流れ

①従来のフィッシング攻撃と同様にフィッシングメールがエンドユーザのもとに届く。

メールの内容は関係者を装ったもので、本文が英語の場合、英語に不慣れなエンドユーザが被害を受けるリスクがある。英語のメールに違和感がないエンドユーザでも、英語の細かな不自然さに気づかないため被害を受けることがある。

不審なリンクが直接記載されているメールもあれば、不審リンクへ誘導される.htaのファイルがメールに添付され届くこともある。

②エンドユーザが不審リンクにアクセスすると、攻撃者が用意したフィッシングサイト(例えば偽のO365のログイン画面)へ繋がってしまう。URLがいつもと違うといった違和感に気づくことができればよいが、意識していないと難しい。 攻撃者はエンドユーザと正規のO365サイトの通信を不正に盗聴している。

③攻撃者はエンドユーザと正規サイト間のID・PW入力等の認証情報入力通信をすべて仲介する。  エンドユーザは通常のO365へのログインと信じて情報を入力し、ログインを進める。

④ユーザーに対してMFA(多要素認証)を求める場合、攻撃者は単にIDとパスワードを盗むだけではなく、ユーザー自身が騙されてMFAの認証を行ってしまうように仕向ける。

⑤攻撃者はエンドユーザの認証情報及びセッションcookieを盗み出すことに成功する。

⑥攻撃者は盗んだセッションcookieを使って、自身の端末から正規サイトにアクセスし機密情報の持ち出しや同アカウントを使用した更なるフィッシングメールの拡散等を行う SaaS等へのアクセスに送信元IP制限をかける設定が残っていれば攻撃者からのアクセスを防御できるかもしれないが、リモートワークの増加とそれによる認証プロセスの一元化により送信元IP制限等が外されていることもこの攻撃が成功してしまう理由の一つとなる場合がある。これも運用の観点からセキュリティ対策を十分に出来なかったために発生する。

AITM攻撃:簡略図

どのように防御するか

EDR、SWG、Eメールセキュリティ等々セキュリティ製品の導入が進んでおり、目に見えるアラートが減りつつある一方でこのようなそもそも検知されない可能性のある攻撃手法があることを伝えたい。 そのためにどの製品・サービスがどの攻撃に対して有効であるか学ぶ必要がある。

EDR:端末自体がマルウェア(ファイルレスベース含む)などの侵害を受けていないため、EDRで検知することは難しい。

SWG:URLカテゴリ分類にて新しく登録されたサイト等をカテゴリブロックできれば防げる可能性があるが、運用上のハードルが高い。

メールセキュリティ:シグネチャベースの確認が多く、攻撃者が新たに作成した不審サイトへのアクセスを悪性判定できない。htaファイルを全面ブロックするにも一部が業務で利用しているために許可できない。

そこで有効な防御となり得るのはFIDO2やWindows Hello for Business、もしくはクライアント証明書ベースでの認証方式と考える。

但しPass-the-cookie攻撃については、前述の通りエンドユーザ-Webサーバ間の通信を攻撃者が盗聴することによるセッションCookie情報取得のみならず、XSS(クロスサイトスクリプティング)やマルウェアによってセッションCookieが盗み取られる可能性がある。 それらの手法に対してはEDR製品をはじめとしたセキュリティ対策を講じていることで防御が期待できる。

Pass-the-Cookie攻撃:イメージ図

おわりに

今回の記事は以上となります。

”EDRが最終的に止めているのだから大丈夫”ではなく、アラートとして検知することが難しい攻撃、端末が関与できない部分で被害が進行する可能性のある攻撃の存在を知って頂きたくこの記事を書きました。 日々攻撃手法が進化する中で、それぞれの手法を理解することだけでも一苦労ですが、今後もサイバー攻撃による被害を一つでも減らせるよう、セキュリティ強化に貢献していきたいと思います。 最後までお読みいただきありがとうございました。

0-WANについて

私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp