セキュリティの
学び場

あなたのアカウントも誰かに狙われている！？アカウントハイジャック

「ある日、気が付いたら大量の電子マネー購入履歴があった。」
「知らない間に攻撃的な投稿をSNS上に送っていた。」

このような被害の背景にはアカウントハイジャックが存在しているかもしれません。

例えばTwitterのようなSNSの場合、「アカウントが乗っ取られて勝手に投稿された」のようなコメントを目にしたこともあるかと思います。
「アカウントなんてそう簡単に乗っ取られるものなのか」と思われるかもしれません。しかし、Webアプリケーションの脆弱性を突く攻撃では「アカウントの奪取・盗難」を最終的な目的とするものも多く、そこには様々なアカウントの乗っ取りの脅威が存在します。

ネットバンキングで使用するアカウント、QRコード、バーコード決済に用いるアカウント、Amazonや楽天などのネットショッピングを行うアカウントなど、乗っ取られてしまうと金銭的な被害が発生するケースも考えられます。

このようにアカウントを乗っ取り、何かしら攻撃者の利益とする攻撃を総称してアカウントハイジャックと呼ばれています。

アカウントハイジャックの手法

アカウントハイジャックの発生事例にはどのようなケースがあるのでしょうか。

アカウントハイジャックには、利用者自身によるID/PWのずさんな管理に原因がある場合や、言葉巧みにID/PWを聞き出すソーシャルハッキングを巧みに悪用する手法もありますが、ここでは主にWebアプリケーションに起因する脆弱性を悪用したアカウントハイジャックを挙げています。

このように、Webプリケーションの脆弱性の多くがアカウントハイジャックに至る可能性があることが分かります。

アカウントハイジャックへの主な対策

それでは、アカウントハイジャックの被害を発生させないためにはどのような対策方法があるのでしょうか。幾つかの対策を見ていきましょう。

セッションハイジャック対策

ログインユーザを識別するためのセッショントークンは、ID/PWと同等の重要な情報です。セッショントークンが漏洩し、盗まれてしまうとアカウントハイジャックに至る場合があります。セッション管理は非常に重要であり、様々な対策が必要です。

ログイン認証時にセッショントークンを更新する

→セッションフィクセーションへの対策となる

セッショントークンの文字列を推測困難な複雑なものにする

セッショントークンをURL内パラメタでは送信しない

→ブラウザのアドレスバーに表示されるURLはコピペが容易で漏洩しやすいため
→その他にもrefererヘッダから漏洩する場合も

通信の送受信には暗号化を強制する

→中間者攻撃による盗聴を防止

セッショントークンの有効期限を短くする

ログイン時における対策（パスワードの要件を含む）

アカウントを利用するにあたって必ず行われる、ログイン認証時においても対策が必要です。

ログイン認証には利用者自身が記憶するPWを求めるなど、安全な方式を採用する

アンチオートメーション対策を実装する

→ブルートフォース攻撃など、自動化された攻撃への対策

設定するパスワードの強度を検証する

→弱いパスワード、過去に漏洩したパスワードが設定されることを防ぐ

パスワードをURLのパラメタで送らない

→セッショントークンと同様で、URL内のパラメタは漏洩リスクが高い

パスワードは画面上に表示しない/パスワードの入力中を文字をマスクする

→ショルダーハッキングによる漏洩を防止

その他の対策

その他にもXSSやSQLインジェクション、CSRFといった脆弱性に起因したアカウントハイジャックのリスクも考えられます。
また、SSRFではWebアプリケーションがホスティングされているクラウド環境のクレデンシャル情報が漏洩する事例もあります。被害発生時の影響の大きいことから、クラウド環境を用いている場合の対策も考慮する必要があります。

アカウントハイジャックの被害に遭わない、発生させないために

このように、アカウントハイジャックに至る脆弱性は数多く存在しています。

これらの脆弱性の全てを可視化して把握し、対策を取るのは容易ではありません。OWASP ASVS(Application Security Verification Standard)やNIST(National Institute of Standards and Technology)といった国際的な基準に準拠した対策が行われているかを定期的に診断する、脆弱性診断が必要不可欠です。

合わせてクラウド環境を利用している場合は、クラウド環境の各種権限などの設定に脆弱性が無いかを確認する診断を検討すると良いでしょう。