アカウント乗っ取り前
アカウント事前ハイジャック攻撃は、オンラインサービスに関連するセキュリティエクスプロイトの一種です。この攻撃では、ユーザーがオンラインサービスに登録しようとしていることを予測し、そのユーザーの名前で登録し、ユーザーが自分で登録しようとした際にアカウントを乗っ取ります。[ 1 ] [ 2 ] [ 3 ]この攻撃は、フェデレーションIDサービスによって作成されたアカウントと、メールアドレスとパスワードを使用して作成されたアカウントの混同、そしてサービス側がこの混同を適切に解決できないことを利用します。[ 1 ]
プレハイジャックは、マイクロソフトのセキュリティレスポンスセンターが資金提供した研究に基づいて、2022年に初めて脆弱性のクラスとして特定されました。[ 4 ] [ 5 ]
調査対象となった75のオンラインサービスのうち、35のサービスが様々な形態のエクスプロイトに対して脆弱であることが判明しました。脆弱なサービスには、Dropbox、Instagram、LinkedIn、WordPress、Zoomなどが含まれています。本論文の発表前に、脆弱性の存在は全てのサービスプロバイダーに報告されていました。[ 5 ]
参照
参考文献
- ^ a b Kovacs, Eduard (2022年5月24日). 「ハッカーはユーザーがアカウントを作成する前に『事前ハイジャック』できる」 . Security Week . 2022年5月31日閲覧。
- ^ Brinkmann, Martin (2022年5月24日). 「ユーザーアカウントの乗っ取り前攻撃が増加している」 . gHacks Technology News . 2022年5月31日閲覧。
- ^ Andrew Paverd (2022年5月23日). 「新たな研究論文:Webユーザーアカウントに対するハイジャック前の攻撃」 . Microsoft Security Response Center . 2022年5月31日閲覧。
- ^ Dickson, Ben (2022年5月30日). 「調査で、トラフィックの多い数十のウェブサイトが『アカウント事前乗っ取り』の危険にさらされていることが判明」 The Daily Swig . 2022年5月31日閲覧。
- ^ a b Sudhodanan, Avinash; Paverd, Andrew (2022-05-20). 「乗っ取られる前のアカウント:Web上のユーザーアカウント作成におけるセキュリティ上の欠陥に関する実証的研究」arXiv : 2205.10174 [ cs.CR ].