出典:Dilock(Adobe Stock経由)
BLACK HAT USA – ラスベガス – 木曜日、8月7日 – セキュアなアカウント復旧方法の導入はパスワードレス認証に比べて遅れているが、ユーザーやサービス提供者がそのギャップを埋めるために取れる具体的な対策がある。
パスワードレス認証の導入(生体認証、パスキーやトークンなどを含む)は急速に進んでいるが、組織はアカウント復旧の扱い方をほとんど変えていないと、Nokia Bell Labsの上級セキュリティ研究科学者Sid Rao氏とWoltのセキュリティエンジニアGabriela Sonkeria氏は、ラスベガスで開催されたBlack Hat USAカンファレンスの参加者に語った。復旧方法は依然としてEメールやSMSなどの安全でない通信チャネルに依存していると、研究者らは警告している。
これは特にリスクが高い。なぜならアカウント復旧は大規模に発生するためだ ― 誰もがパスワードを忘れる。
「アカウント復旧は非常に一般的な現象であり、統計もそれを示している」とRao氏は述べ、過去90日間に5人中4人がパスワードを忘れたことがあり、ユーザーの25%が日常的に復旧メカニズムに頼っているといった統計を挙げた。攻撃者はスキルレベルに関わらず、これらの弱点をアカウント乗っ取りや、アカウントの永久的なロックアウトに悪用できる。
Rao氏によれば、ユーザー体験の摩擦が少ないほど、復旧時のリスクは高くなる傾向がある。そのため、ユーザーは常に2要素の復旧オプションを選択すべきであり、サービス提供者はデフォルトで強力なセッション管理プロセスやポリシーを持つ必要がある。これには、ログイン中のセッションを警告とともに終了させ、古い認証情報を無効にする新しい認証情報を要求することなどが含まれる。
テスト対象
アカウント復旧の弱点は、セキュリティやハッキングの問題だけにとどまらない。最も広く使われているウェブサイトのほとんどには、何らかの弱点が少なくとも1つは存在するが、さらに多くの弱点がある可能性もあると研究者らは発見した。彼らは発表前に、最も訪問されている22のウェブサイトのいくつかをテストした。アカウント復旧方法をテストするため、2人は1人の善良なユーザーと1人の半ば悪意のあるユーザーを設計した。
後者は、異なる場所やブラウザからのログインを試みるなど、疑わしい行動を示した。テスト環境は仮想マシン、異なるブラウザ、プロキシを使って構築された。その後、アカウント復旧の手順を実行し、サービス提供者の対応を観察した。
「あらゆる小さな変化に対応できるよう設計しようとしました」とSonkeria氏は語った。
正規ユーザーと悪意あるユーザーの攻防
テストケースからは、設計上の欠陥、セキュリティポリシーの弱さ、ベストプラクティスの欠如という3種類のセキュリティ上の欠陥や問題点が明らかになった。例えば、多くのウェブサイトは、ユーザーがアカウント復旧のためにメールや電話を利用する前に、それらにアクセスできることを証明することを求めていなかった。認証方法も一貫性がなく、アクティブな並行セッションが許可されていた。
「多要素認証は復旧時に使われていないことが分かりました」とSonkeria氏は述べた。「ここでの問題は、攻撃者がアカウント乗っ取りを狙って復旧を開始した場合、サービス提供者がそれを許可してしまうことです。」
攻撃者がパスワードを変更してアカウントにアクセスすると、正規ユーザーが自分のアカウントにログインしようとしてもできなくなる。これはまるでネコとネズミの追いかけっこのようだ。正規ユーザーが復旧を開始してアカウントに再びアクセスできるようになっても、このやりとりは延々と続く可能性がある ― 攻撃者も正規ユーザーも復旧を繰り返す。そしてアカウントの所有者は、問題の原因が悪意あるユーザーにあることに気付かない場合が多い。
MFA(多要素認証)の導入は重要だが、研究者らは認証方法が復旧完了後に使われていることを発見し、それでは不十分だと指摘した。パスワードレス時代のアカウント復旧に潜むもう一つの「隠れたリスク」は、攻撃者が自分の選んだトークンに復旧方法を変更できる点だ。これにより、事実上の永久的なロックアウト攻撃が可能になる。
さらなる推奨事項
パスワード管理会社Keeper SecurityのCEO兼共同創業者であるDarren Guccione氏は、アカウント復旧プロセスを非常に厳格にし、ユーザーが本人であること、そしてそれがユーザー自身のデバイスであることを確認することが不可欠だと推奨している。同社のプラットフォームには、例えば携帯電話が盗まれた場合に保管庫を自動消去する保護機能がある。また、認証は4回のパスワード入力ミスまでに制限されている。
「特に誰かがサポートに連絡してきた場合、ソーシャルエンジニアリング攻撃にさらされないよう、非常に注意しなければなりません」とGuccione氏はDark Readingに語った。