Share

作成されていないユーザーアカウントを乗っ取る??

  • 2022年7月8日

加藤です。

“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘

https://www.itmedia.co.jp/news/articles/2207/07/news050.html

ITMediaより引用

タイトルだけ見ると一体どんな魔法が!?となりますが、
これ、外部IDMを使ったSSOを悪用した乗っ取りなのです。

あるサービスを利用しようとする際に、そのサービスのオリジナルアカウントではなく、
GoogleやTeitter、Facebookなどのアカウントを使ってログインできるというものがあります。
これを悪用するという攻撃になります。

詳細や攻撃方法は記事中に紹介されておりますが、メールアドレスを攻撃者が把握すると、
それを使って先回りしてアカウントを作成されてしまうところがスタートとなります。
その後の乗っ取り方法はサービスのより違うようですが、
メールで通知されるお知らせに無意識に反応してしまうと攻撃が成功するということになります。

これはたとえMFAで複数要素、複数段階を踏んだとしても、
習慣として承認していまうという形だと攻撃が成立してしまいます。
ですので、普段から本当に自分がアクセスしたうえでの確認なのか?
ということを再確認する習慣が必要であると言えますね。

本日は作成されていないアカウントが乗っ取られるというお話でした。
何かのお役に立てば幸いです。