アカウント名:
パスワード:
攻撃者はユーザー名とパスワードと、そのユーザーに対する直接の連絡手段(電話番号など)を入手する。攻撃者はユーザー名とパスワーを使って何度もログイン試行する。するとシステムが何度もユーザーに対して「このログインを承認しますか」というような問い合わせをユーザーにする。ユーザーはそのログインに心当たりがないから普通は承認しないんだけど、脊髄反射で承認ボタン押す人や操作ミスなどで承認してしまうこともある。(攻撃成功。この場合は連絡手段の入手不要)今回は、攻撃者がユーザーに対して電話して管理者を装って「承認操作してください」って頼むことで攻撃成功させた。
#コロナ感染のせいでブレインフォグとかで脳の理解力が落ちたのかな。最近記事読んでもすんなり理解できないことが多い(でもその現象が発生するのスラドの記事だけ)
プッシュ通知で承認しますか?Y/Nってのがまずいんでしょ。普通は通知で送った番号を入力させるんじゃない?
まぁ、普通に考えて「承認」「拒否」って選択肢はおかしいんだよね。「サインイン」「操作ミス」「通報」という3つが良いと思う。自分でサインイン操作して拒否するフローはいらないよね。拒否する様な場面は、自分の操作ミスか、他人がなりすまそうとしてる以外に無いのだから、そこは切り分け無いとダメでしょ。
コンシューマ向けで人数が多ければ、確かにサポートコスト低減の為に、ある程度スルーは有りとしても、従業員向けなら、攻撃されたら即座に対応しないと、何のために多要素認証で時間稼ぎしてるのか分からないですよね。多要素認証を攻撃への防御と勘違いしてる人が居るんでしょうね。ただ複雑性を上げる為だけの牽制手法なのに。
通報は確かに欲しい。dアカウントの入力間違いと思しき承認要求がしばしば来るんだけど、普通の人は2、3回拒否でアカウントを間違えたことに気づくようなのですが、たまに30分くらい延々とチャレンジを続ける人がいてウザいんだよね。管理者に通報か、同一IPからのログインを一定時間拒否するような機能が欲しいところ。
「拒否」が実際「通報」として取り扱うアクションでは。
「操作ミス」ってなんだろう。
ログイン必要無いのに、ブラウザの自動入力で開いたりとか、通知が遅れてて二回ログイン操作してしまった時とか、自分で認識している範囲での、不要な認証要求は結構あるでしょう。それをいちいち通報するのは、心理的に障壁が高いし、不要なのに許可するのもリスクが高い。システム管理側は、そこを切り分けるのが難しい(確認とかコストが掛かる)ので、処理能力によってはスルーすることになる。
それは承認でいいだろう?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
こういうことかな (スコア:2, 参考になる)
攻撃者はユーザー名とパスワードと、そのユーザーに対する直接の連絡手段(電話番号など)を入手する。
攻撃者はユーザー名とパスワーを使って何度もログイン試行する。
するとシステムが何度もユーザーに対して「このログインを承認しますか」というような問い合わせをユーザーにする。
ユーザーはそのログインに心当たりがないから普通は承認しないんだけど、脊髄反射で承認ボタン押す人や操作ミスなどで承認してしまうこともある。(攻撃成功。この場合は連絡手段の入手不要)
今回は、攻撃者がユーザーに対して電話して管理者を装って「承認操作してください」って頼むことで攻撃成功させた。
#コロナ感染のせいでブレインフォグとかで脳の理解力が落ちたのかな。最近記事読んでもすんなり理解できないことが多い(でもその現象が発生するのスラドの記事だけ)
Re: (スコア:1)
プッシュ通知で承認しますか?Y/Nってのがまずいんでしょ。
普通は通知で送った番号を入力させるんじゃない?
Re:こういうことかな (スコア:3, すばらしい洞察)
まぁ、普通に考えて「承認」「拒否」って選択肢はおかしいんだよね。
「サインイン」「操作ミス」「通報」という3つが良いと思う。
自分でサインイン操作して拒否するフローはいらないよね。
拒否する様な場面は、自分の操作ミスか、他人がなりすまそうとしてる以外に無いのだから、そこは切り分け無いとダメでしょ。
コンシューマ向けで人数が多ければ、確かにサポートコスト低減の為に、ある程度スルーは有りとしても、従業員向けなら、攻撃されたら即座に対応しないと、何のために多要素認証で時間稼ぎしてるのか分からないですよね。
多要素認証を攻撃への防御と勘違いしてる人が居るんでしょうね。ただ複雑性を上げる為だけの牽制手法なのに。
Re:こういうことかな (スコア:1)
通報は確かに欲しい。
dアカウントの入力間違いと思しき承認要求がしばしば来るんだけど、普通の人は2、3回拒否でアカウントを間違えたことに気づくようなのですが、たまに30分くらい延々とチャレンジを続ける人がいてウザいんだよね。
管理者に通報か、同一IPからのログインを一定時間拒否するような機能が欲しいところ。
Re: (スコア:0)
「拒否」が実際「通報」として取り扱うアクションでは。
「操作ミス」ってなんだろう。
Re: (スコア:0)
ログイン必要無いのに、ブラウザの自動入力で開いたりとか、通知が遅れてて二回ログイン操作してしまった時とか、自分で認識している範囲での、不要な認証要求は結構あるでしょう。
それをいちいち通報するのは、心理的に障壁が高いし、不要なのに許可するのもリスクが高い。
システム管理側は、そこを切り分けるのが難しい(確認とかコストが掛かる)ので、処理能力によってはスルーすることになる。
Re: (スコア:0)
それは承認でいいだろう?