事前ハイジャック攻撃 ってなんぞ？ @IA_asaIshi

I am Asami(@IA_asaIshi). 株式会社シーエー・アドバンス技術統括本部 セキュリティ監査チーム(支援チーム) ※社内Webアプリの脆弱性診断を担うチームで 　診断前の対象調査を主に行っています Hello! 2

脆弱性ってなに？ What is a “Vulnerability”? 1 3

脆弱性とは 悪用できるバグ のこと 例をあげると… ◉ 商品価格を改ざんされる ◉ ホームページが改ざんされる ◉ 遠隔から送られた任意のプログラムコードを実行でき てしまう(Log4shell) ◉ 一般ユーザにアクセスされることを想定していない ディレクトリが公開されている ◉ 他ユーザになりすますことができる …などなど 4

脆弱性診断ってなに？ What is a “Vulnerability Assessments”? 2 5

脆弱性診断とは 「サービスに 脆弱性 がないか」 を調査すること 6

脆弱性診断の流れ（全体） 自動診断 (Active Scan) 報告書作成 手動診断 (Intruder, ア クセス権) 7 対象調査 (クロール)

事前ハイジャック攻撃とは？ What is a “pre-hijacking attack” ? 3 8

“ ユーザーがアカウントを作成する前に アカウントをハッキングしておく アカウント事前乗っ取り攻撃 (account pre-hijacking attacks) 9 GIGAZINEさんの記事からの引用： https://gigazine.net/news/20220601-account-pre-hijacking/

従来のアカウント乗っ取り攻撃例 ◉ データ侵害や漏洩したデータを利用した乗っ取り ◉ パスワードの総当たり攻撃 ◉ フィッシングによるログイン情報の窃取（フィッシン グメール、フィッシングサイトなど） ◉ マルウェア、コンピュータウイルスを利用したパス ワード窃取 ◉ 中間者攻撃 ◉ セッションハイジャック などなど 10

事前ハイジャック攻撃の例 1. 攻撃者が外部サービスを利用し、アカウントを作成 a. 被害者のメールアドレスを登録アカウントと紐づける 2. 被害者が当該サービスで自身のメールアドレスを用いてアカウント を作成する a. (実態は)登録済みのため、パスワードリセットを行ってアカウン トを復旧させている 3. 攻撃者が登録時に利用した外部サービスでログイン a. 外部サービスとメールアドレスの紐付けがされているため、 被害者のアカウントにアクセスできてしまう 11

開発側 ◉ 登録されたアカウント情報 に外部サービスや追加の ユーザ情報を紐づける際、 その情報が確実に当該ユー ザのものかを確認する (例：メールアドレスの所 有者確認) ◉ MFA(多要素認証)を実装 事前ハイジャック攻撃を防ぐには ユーザ側 ◉ MFA(多要素認証)設定を利 用する ◉ 作った覚えのないアカウン トに関するメールが届くの はハッキングの前兆と考 え、サービスに通報すると 尚よい 12

なにかありましたら Twitter か てくちゅらSlack にて！ ◉ @IA_asaIshi (Twitter) ◉ @Asami (てくちゅらSlackユーザ名) Thanks! 13