TokyoBlackHatNews

gbhackers.com 4分で読了

VaultJacking攻撃:単一PINでGoogleパスワードボールトが露出

「VaultJacking」と名付けられた新たなフィッシング手法が、サイバーセキュリティコミュニティで深刻な懸念を引き起こしている。研究者たちが、1つのGoogleパスワードマネージャー(GPM)PINを入手するだけで、ユーザーの資格情報ボールト全体が露出する仕組みを実証したためだ。

この攻撃は、フィッシング耐性があると広く喧伝されているパスキーでさえ、攻撃者が個々のログインフローではなく、背後にある同期インフラを標的にすることで間接的に侵害できることを示している。

VaultJackingは、標準的な中間者攻撃(AiTM)フィッシングの仕組みで動作する。巧妙に偽装されたGoogleサインインセッション中に、攻撃者は被害者の資格情報やセッションクッキーだけでなく、6桁のGPM PINも窃取する。

一見取るに足らないこのデータが、被害者の同期済みGoogleアカウントに保存されたすべてのパスワードとパスキーを復号するマスターキーとなる。

従来のフィッシング攻撃が一度に1サイトずつ資格情報を収集するのに対し、VaultJackingはたった1ステップでアカウントの完全乗っ取りを実現する。PINを入手した攻撃者は、同期済み資格情報へのアクセスが許可された信頼済みデバイス群である、被害者のGoogleの「セキュリティドメイン」に新しいデバイスを追加できる。

このプロセスにより、攻撃者が制御するシステム上でボールト全体を復号するセキュリティドメインシークレット(SDS)がアンロックされる。

研究者たちは、ハードウェアバックアップ実装を含むパスキーを使用しているアカウントに対しても、この攻撃が有効であることを確認した。

パスキーはWebAuthnのオリジンバインディングにより個々のウェブサイトレベルでは安全なままだが、VaultJackingはその下層にある同期レイヤーから資格情報を抽出することで、その保護を完全に迂回する。

Image

攻撃の一連の流れは高度に自動化されている。PINをフィッシングした後、攻撃者は持続的なアクセスを維持するために、被害者のアカウントに自分自身のパスキーを登録する。

単一PINによるGoogleパスワードボールトの解錠

次に、このパスキーを使って認証し、自分たちのインフラ上でセキュリティドメインへの参加をトリガーする。PINが入力されると、システムは保存されたすべてのパスワードとパスキーのメタデータを攻撃者の環境に同期し、銀行、メール、企業システム、および暗号資産プラットフォームへのアクセスを可能にする。

SDSのアンロックダイアログは、ワーカーがフレームワークがこの目的のために運営する制御済みのリライングパーティエンドポイントに対してパスキーのアサーションをトリガーしたときに発火する。

特筆すべき点として、このプロセスでユーザーに表示される警告は最小限にとどまる。被害者は「新しいサインイン」や「新しいパスキーが追加されました」といった標準的なメールを受け取ることがあるが、プッシュ通知やデバイス承認のプロンプトはトリガーされない。

Image

攻撃者が被害者の受信トレイにもアクセスできた場合、これらの警告を完全に隠蔽でき、侵害は実質的に不可視となる。

根本的な問題は、デバイス登録にクロスデバイス承認を要求せず、短いPINに依存するというGoogleの設計上の選択にある。

AppleのiCloudキーチェーンなど競合するエコシステムでは、同期済み資格情報へのアクセスを許可する前に、既存の信頼済みデバイスからの明示的な承認を要求する。Googleのアプローチは利便性とアカウント回復を優先しているが、重大なフィッシングリスクをもたらしている。

セキュリティ専門家は、VaultJackingはパスキー自体の暗号的な欠陥ではなく、同期された資格情報ストアがどのように保護されているかという弱点であることを強調している。

Phishuによると、この攻撃は、デバイス登録イベントの監視と、特に管理者や開発者などハイリスクなユーザーに対するより強力な認証コントロールの重要性を浮き彫りにしている。

Image

Google Workspaceを利用している組織は、新しいデバイスの追加に関する監査ログを注意深く監視し、潜在的なセキュリティインシデントとして扱うことが推奨される。また、個人用と業務用のChromeプロファイルを分離し、アカウント間での資格情報の混在を避けることで、露出リスクを軽減できる。

この発見は、同じ同期レイヤーを悪用するために悪意のある拡張機能を利用する「ブラウザシンクジャッキング」と呼ばれる関連手法に関する報告に続くものでもある。

しかしVaultJackingは、マルウェアやデバイスへのアクセスを一切必要とせず、フィッシングセッションを成功させるだけでよいため、より危険とみなされている。

パスキーの普及が加速する中、この研究は重大な現実を浮き彫りにしている。パスワードをなくしてもフィッシングのリスクはなくならない。

攻撃者は認証エコシステムの中でより脆弱なリンクへと標的をシフトしているに過ぎず、今回のケースでは6桁のPINさえあればすべてを解錠できてしまうのだ。

翻訳元: https://gbhackers.com/google-password-vaults-via-single-pin/

ソース: gbhackers.com
#Googleパスワードマネージャー #VaultJacking #サイバーセキュリティ #セキュリティドメイン #パスキー #パスワード管理 #フィッシング攻撃 #ブラウザセキュリティ #中間者攻撃(AiTM) #資格情報窃取

関連記事

2026年版 モバイルアプリケーションセキュリティテスト(MAST)ツール トップ10

AIが生成したnpmマルウェア、攻撃者のプライベートGitHubトークンを漏洩

GiteaコンテナレジストリにおけるPrivateイメージ漏洩の危険性を持つ脆弱性が発見される