〇 「プリハイジャック攻撃」とは、特定のユーザーのアカウントを、そのユーザーが作成する前に乗っ取ってしまう攻撃手法である。米Microsoft(マイクロソフト)の研究者らが2022年5月に調査報告書を発表し、新たな攻撃手法として注目を集めた。「事前ハイジャック攻撃」などとも呼ばれる。
一般的なアカウントの乗っ取りは、攻撃者が何かしらの方法で盗んだ正規のユーザーIDとパスワードを使い、本人になりすましてWebサービスなどのアカウントを奪う。一方のプリハイジャック攻撃は、攻撃対象者のメールアドレスを使い、事前に攻撃対象のサービスでアカウントを作成しておき、待ち伏せて奪うかたちとなる。
具体的には次のような方法だ。攻撃者は攻撃対象者が今後登録しそうなサービスを予測し、攻撃対象者のメールアドレスを使って当該サービスのアカウントを作成しておく。その後、攻撃対象者が狙い通り当該サービスに登録し、アカウントを作成または復活させる。つまり攻撃者が事前に作成していたアカウントを自分のものと誤認して使う訳だ。
そして攻撃者が再び自らが作成したアカウントにログインすることで、攻撃者と攻撃対象者が1つのアカウントを共有している状態となる。攻撃者は、攻撃対象者が当該サービスをある程度使ったところで個人情報を抜き出したり、アカウント自体を乗っ取ったりする。
サイバーセキュリティー企業S&Jの三輪信雄社長は「攻撃対象者が今後登録しそうなサービスを予測する必要があるため、最近話題になり、一気にスケールするサービスなどが狙われやすい」と指摘する。
具体的な攻撃方法は5種類。
プリハイジャック攻撃を実現する具体的な手法について、研究者らは調査報告書で5種類を挙げた。
その1つ、「Unexpired Session Attack(失効されないセッション攻撃)」は、ログインした状態(セッション)を維持できてしまうWebサービスを狙った攻撃だ。攻撃者は攻撃対象者のメールアドレスで同サービスのアカウントを作成し、ログインした状態で待機する。
その後、攻撃対象者がメールアドレスでアカウントを新規作成しようとすると、既に登録済みであるため「このメールアドレスは登録済みです」などと表示される。すると、攻撃対象者は「過去に自分でアカウントを作成したが、パスワードを忘れてしまった状態」と勘違いしてアカウントを回復させるためにパスワードをリセットし、自分のパスワードを設定して使い始める。
ただ、パスワードがリセットされてもセッションが無効にならない仕様であれば、攻撃者はアカウントにアクセスし続けることができる。攻撃者と攻撃対象者がアカウントを共有した状態となり、乗っ取りが成立する。
そのほかにも、「Classic-Federated Merge Attack(クラシック・フェデレーション統合攻撃)」という攻撃手法もある。攻撃対象サービスが、メールアドレスとパスワードによるログインと、ソーシャルログインの両方に対応している場合にできる手法だ。
攻撃者は、攻撃対象者のメールアドレスでアカウントを作成しておく。その後、攻撃対象者がソーシャルログインでアカウントを作ろうとすると、アカウントの管理機能が不十分なWebサービスでは両方のアカウントが統合されてしまう。その結果、どちらのログイン方法でも同じアカウントに入れる状態になり、乗っ取りが成立する。
この他にも「Trojan Identifier Attack(トロイの木馬ID攻撃)」「失効されないメールアドレス変更攻撃(Unexpired Email Change Attack)」「Non-verifying IdP Attack(非検証型IdP攻撃)」といった手法がある。
いずれのプリハイジャック攻撃も、攻撃対象サービスの仕様に問題がある場合に成立する。ユーザーがアカウントを作成する際に登録したメールアドレスが、本人のものであるかの確認を怠った場合などだ。アカウントの作成時に指定されたメールアドレスに確認メールを送信し、確認が完了するまでアカウントを付与しないようにすれば、危険性を大幅に低減できる。
ただ、「依然としてメールアドレスの確認をせずに登録できてしまうWebサービスも多く、被害に遭わないためにはユーザー自身もそのサイトが本当に安全な設計なのかをきちんと注視する必要がある」(S&Jの三輪社長)。
