パスワードを忘れた? アカウント作成
15702258 story
インターネット

「アカウント作成前にアカウントを乗っ取る」プリハイジャック攻撃が発見される 14

ストーリー by nagazou
生まれる前から 部門より
ユーザー「アカウントを作成する前にそのアカウントを乗っ取る」という常識ではあり得ないような攻撃手法が発見されたそうだ。Avinash Sudhodanan氏とAndrew Paverd氏の二人のセキュリティ研究者が見つけたもので、二人はこの攻撃手法を「Pre-hijacking Attack」(プリハイジャック攻撃)」と呼んでいるそうだ(MalwarebytesTECH+)。

この攻撃方法は5種類の方法に分類されており、一つはメールアドレスを使った2つのアカウントの相互作用の欠陥を使用する「Classic-Federated Merge (CFM)攻撃」。二つ目は先の攻撃手法のサイバー犯罪者とユーザの立場が逆になった「Non-Verifying Identity Provider (NV)攻撃」。三つ目はユーザーによるパスワードリセットの際に電子メール変更リクエストを無効化しない問題を悪用した「Unexpired Email Change (UEC)攻撃」。

四つ目は認証されたユーザーがパスワードリセット後に、アクティブなアカウントからサインアウトされないという欠陥を悪用する「Unexpired Session (US)攻撃」。最後はCFM攻撃とUS攻撃を組み合わせた「Trojan Identifier (TID)攻撃」となっている。研究者らが人気の高いWebサイト75か所を調査したところ、35以上のWebサイトが少なくとも1手法のプリハイジャック攻撃に対して脆弱な状態だったとしている。

あるAnonymous Coward 曰く、

5種類の攻撃方法が例示されているが、全体的に、同じメールアドレスで先にアカウントを登録しておいて正規アカウントが紐づけられたら乗っ取るみたいな方法のようだ?

  • 以下、ポルナレフ禁止。
    ここに返信
    • by Anonymous Coward

      以下、ポルナレフ禁止。

      むしろレクイエム発動時くらいカオスになっているような、、、

  • by Anonymous Coward on 2022年06月17日 15時35分 (#4271205)

    自動化するのだろうけど運任せでずっと待ち続ける感じ?

    そもそも登録時に既に登録済みのメールアドレスか検出しないサイトなどおめにかかったことがないのだが。

    ここに返信
    • by Anonymous Coward on 2022年06月17日 16時08分 (#4271229)

      本物のユーザーが登録しようとしたらメールアドレス登録済みとなって、「あれ登録してたっけ」とパスワードリセットすることで攻撃が成功する手法を含んでるので、そういうもの。

      /* 記事読め */

      • by Anonymous Coward

        そもそも他人のメールアドレスで登録できるシステムがダメよね。

        • by Anonymous Coward

          そもそも他人のメールアドレスで登録できるシステムがダメよね。

          では本人確認のためにマイナンバーを(ヤメタゲテ

      • by Anonymous Coward

        普通、メールアドレス登録したら、当該アドレス宛に「アカウント作成完了のために確認URLクリックすれ」メールが来ると思うんだが、違う?
        リセットにしても、登録アドレスに「リセットはこのURLから」メールが来ると……

        ……そーゆーのが無い管理がザルなサービスで網を張るのかな。

    • by Anonymous Coward

      ユーザ狙い撃ちでやるんじゃないのかな。
      企業や組織のミッションクリティカルな開発者のメールアドレスはわかるだろうから、登録しそうなサービスに仕込んでひたすら待ち続ける?

    • by Anonymous Coward

      > そもそも登録時に既に登録済みのメールアドレスか検出しないサイトなどおめにかかったことがないのだが。

      マイナーだけどあるにはある(例: blackhost.xyz, webmail.co.za)
      メールアドレスをそのままIDとして利用するシステムでは重複登録NGだけど、任意の文字列をIDにするシステムでは重複登録できても問題ない(あ、でも問題があるっていうのが今回の報告なのか)

    • by Anonymous Coward

      もう、出生時に個人用IPアドレスを振り出せば良い。

  • by Anonymous Coward on 2022年06月17日 16時25分 (#4271239)

    「アカウントを作成する前にそのアカウントを乗っ取る」という常識ではあり得ないような表現手法

    ここに返信
  • by Anonymous Coward on 2022年06月17日 16時55分 (#4271259)

    1と2
    Yahoo! JAPAN IDでログイン や Twitterでログインなど
    他サイトと連携してログイン可能なサイトで
    ハッカーは事前にYahoo! JAPAN IDでログインでアカウントを作っておき
    ターゲットは知らないので従来のメールアドレスから新規アカウントを作成する。

    これが同じメールアドレスなので勝手に紐づいて
    ハッカーはYahoo! JAPAN IDでログインで ターゲットに成り済ますことができる。
    (2はハッカーとターゲットが逆の立場)

    ・だけど、これ事前にYahoo! JAPAN IDとか他のIDの乗っ取りが既に完了してるのが前提じゃない?

    3について
    ハッカーは事前にターゲットのアカウントを作成してログインする。
    ターゲットは新規登録しようとするとパスワードが違うと言われログイン出来ないので
    パスワードリセットしてログインする。
    ハッカーはログアウトしてないので、そのまま継続してログインした状態。
    ターゲットに成り済ますことができる。

    ・基本的にメールアドレス確認後が前提になってるから、大手では少ないと思われる。マイナーなサイトが狙われるのかな。

    4について

    ・3の別バージョンとはいえアカウント作成時にメールアドレス確認が必要なサイトでは被害は起きない。

    5について

    ・1と3の合せ技らしい? が、1を乗っ取りされてる時点で問題では?

    いずれにしても、
    3以外は現実的じゃないにしても3はサイト側の問題であるのと
    大体、登録前・登録完了後でメール飛んでくるからユーザーはその時点で気づくと思うが・・・。

    これ脆弱性と言えるのか・・・ただの手抜きサイトでは・・・。

    ここに返信
    • by Anonymous Coward

      んん、よくわからん。
      昔、ドメインを取得して、証明書を取ったら即返却なんてのが横行してたらしいけど、それと似てる?

    • by Anonymous Coward

      3もまともなサイトならパスワードリセット時に全セッションログアウト処理するしなあ…

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...