お手軽にアカウントを先に乗っ取り

　セキュリティ研究者Avinash SudhodananさんとMicrosoft Security Response Centerの研究者が発表

「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」

まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文

具体的に5種類の攻撃を提案し75のWebサイトで試したところ

35のサイトで乗っ取りに成功

その中には、ZoomやInstagram、Dropbox、LinkedIn etc

Googleでログイン、Twitterでログイン、FacebookでログインなどをWebサービスやアプリケーションの認証時に使った経験がある人は多い

このような認証方法をシングルサインオン(SSO)と呼び、1度ユーザー認証を行うとログイン時にひもづくシステムやWebサービス、アプリケーションを追加認証なしで利用できる

ユーザーの負担を軽減し体験を向上させることから多くのサービスで導入されている

このSSOを逆手に取った攻撃

攻撃者が被害者のメールアドレスを取得していること

狙うサービスがメールアドレスの確認をしないでアカウント作成できることが前提

メールアドレスを確認しないというのは、ユーザー体験を向上させるため(メンドクサくないように)にサービス側がメールアドレスを確認しない（もしくは後回しにする）

例えば、メールアドレスとパスワードを入力して新規アカウントを作成するケース

本人以外のアドレスでも取得できる場合や、認証のためにそのアドレスに確認メールを送るがユーザーが確認ボタンを押さなくてもサービスを使える場合がそれにあたる

上記前提条件を基にした5種類の攻撃方法

Classic-Federated Merge Attack

攻撃者が被害者のメールアドレスを使い、先回りしてサービスのアカウントを作成しておく

被害者がGoogleでログインなどでそのサービスにログインした場合にアドレスが統合されるため乗っ取り成功

攻撃者が設定したパスワードでログインできる

Unexpired Session Identifier Attack

被害者のメールアドレスで先回りしてアカウントを作成

定期的に訪問しログイン状態を維持

この状態で被害者が同じアドレスで新規登録しようとすると

「このメールアドレスは既に登録されています」と表示される

ログイン画面からパスワードのリセットをかける

リセットしても攻撃者がログインしていたセッションは切れないため、乗っ取り成功

Trojan Identifier Attack

　こちらも先回りして被害者のメールアドレスでアカウントを作成しておき、そのアカウントと攻撃者のIdP（Identify Provider）アカウントをひもづける。この状態で被害者が同じアドレスで新規登録しようとすると「このメールアドレスは既に登録されています。」と表示されるため、ログイン画面からパスワードのリセットをかける。 攻撃者のIdPアカウントでもログインできるため、乗っ取りに成功する。

Unexpired Email Change Attack

先回りして被害者のメールアドレスでアカウントを作成

攻撃者のメールアドレスに変更するようサービスに申請

この状態で被害者が同じアドレスで新規登録しようとすると

「このメールアドレスは既に登録されています」と表示

ログイン画面からパスワードのリセットをかける

攻撃者には先ほどのメールアドレス変更の確認メールが届いているため

その変更を確定する

これで攻撃者のメールアドレスでログインできるように

乗っ取り成功

Non-Verifying IdP Attack

メールアドレスの所有者を確認しないIdP（クラウドサービスなどにアクセスするユーザーの認証情報を保存、管理するもの）で

被害者のメールアドレスを使ってアカウントを作成しておく

被害者がメールアドレスでアカウントを新規登録

IdPのアドレスが統合されるため乗っ取り成功

この5種類の攻撃を有名な75サイトで試したところ

35サイトが1種類以上の攻撃を防ぐことができなかった

防げなかったサイトには、ZoomやInstagram、Dropbox、LinkedInなどが含まれていた

Source and Image Credits: Sudhodanan, Avinash, and Andrew Paverd. “Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web.”

・・・特にテクニックが必要ない

なんかな～

今日は～

今日、雨の予定だった

なんで、暖房が入るトコのシダ、ランの水やり(雨ざらし)を今日にしたのに・・・

晴、暑い

で？

オシャクジデンダ/Polypodium fauriei

３月の雪まだ残る、さる山寺

木にビッシリ

イイわ～

さすが冬緑性

・・・続く