Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される

Many ZTNA, MFA Tools Offer Little Protection Against Cookie Session Hijacking Attacks

2022/09/11 DarkReading — 組織において、内部ネットワークからインターネット・トラフィックを分離するためにディプロイされるツールの多く (多要素認証/ZTNA/SSO/ID プロバイダー・サービスなど) は、Cookie の盗難/再利用および、セッション ハイジャック攻撃からの保護にはほとんど効果がない。 今週にイスラエルの新興企業 Mesh Security の研究者たちが発表したところによると、これらの技術やサービスには、適切な Cookie セッション検証メカニズムがないことが多いという、したがって、これらの技術やサービスを、攻撃者は比較的容易に迂回できるという現実がある。


最近のことだが研究者たちは、Okta/Slack/Monday/GitHub などを含む数十社の技術を調査した。具体的は、盗んだセッション Cookie を使ってアカウントの乗っ取り、正規ユーザーへのなりすまし、侵害した環境で横移動などを行う攻撃者に対する、保護策を確認したとのことだ。

その結果、認証済みユーザーの Cookie を盗み、セッションを乗っ取ることに成功した脅威者は、これらのベンダーが提供する全ての MFA チェックポイントや、その他のアクセス制御をバイパスできることが判明した。また、MFA と ZTNA のアプローチを導入している環境でも、セッション Cookie を盗んだ攻撃者は、特権アカウント/SaaS アプリケーション/機密データ/ワークロードにアクセスできることが分かった。

たとえば Okta のケースでは、Okta アカウントにログインしているユーザーの、セッション Cookie を盗むことに成功した敵対者は、それを用いて他のブラウザやロケーションから、同じアカウントにログインできることを、Mesh のセキュリティ研究者は発見した。さらに、Okta アカウントを介してユーザーがアクセスできる全てのリソースに、攻撃者がアクセスできることも判明した。

Mesh は、調査結果をまとめたレポートの中で、「驚くべきことに、これらの試みはブロックされることが予想されるが、すでにセッションが検証されているため、攻撃者はアクティブな MFA メカニズムを回避できる」と述べている。

直接の責任はない?

このような攻撃について Okta は、自分たちがダイレクトに責任を負う問題ではないとしている。Mesh は Okta の発言を引用して、「Web アプリケーションである Okta は、悪意のブラウザ・プラグインやクッキー窃取などによる、エンドポイント攻撃からの保護のために、ブラウザ/OS 環境のセキュリティに依存している」と述べている。

Mesh Security の CEO である Netanel Azoulay は、この問題について、同社が接触した大半のベンダーも同様に、クッキーの盗難/再利用/セッション・ハイジャック攻撃への責任からは距離を置いていると述べている。

Azoulay は、「この問題は、IdP (Identity Provider) と ZTNA のソリューションを含む、私たちのリストに載っているベンダーに、全ての責任があると信じている。明示的に検証するという原則を、積極的に推進する全てのベンダーは、それを自社のシステムに組み込むべきだ。Zero Trust の全体的な考え方は、全てのデジタルなやり取りを常に明示的に検証し、決して信用しないことだ」と主張している。

Cookie 窃取とセッション・ハイジャックは既知の問題であり、APT29 などの APT を含む多くの脅威アクーたちは、そのキャンペーンで日常的に使用している攻撃ベクターである。セッション Coolkie を盗む一般的な手口には、フィッシング・キャンペーンやブラウジング・トラップに加えて、CookieMiner/Evilnum/QakBot などのマルウェアもある。

そして、セッション Cookie を盗んだ攻撃者は、認証済みユーザーとして Web アプリケーションやサービスにアクセスし、セッションがタイムアウトするまで (数時間から数日以内) アクセスし続けることになる。

高まる懸念

Azoulay は、組織におけるアプローチが、境界防御ののセキュリティ・モデルから、アイデンティティ主導のモデルへと移行しているため、この問題は重要であると述べている。Okta などの ZTNA ベンダーは、カスタマイズされたブラウザ・ベースのポータルを介して、SaaS アプリケーション/IaaS ワークロード/データなどのリソースと、従業員をつなぐハブとなっている。これらのシステムは、最近では企業のコア・ネットワークとして機能しているが、攻撃者に One-to-Any のアクセス・メカニズムを提供する事態となっている、と彼は言う。

Azoulay は、「IdP/SSO/MFA/ZTNA などのセキュリティ・ソリューションを導入する組織は、インターネット・トラフィックを内部ネットワークから分離するために、膨大な予算と努力を投じている。しかし、脅威アクターたちは、この高価な仕組みと制御手段を全て回避し、ボタンをクリックするだけで組織のコアに到達できる可能性を手にしている。現在の緩和技術は、これに対応するように設計されていない」と述べている。

Mesh による分析への対応として Okta は、UI または API を介した、管理者によるユーザー・セッションをクリアを推奨している。また、同社は、セッション・タイムアウトは1分から90日まで設定可能であるとも述べている。セッションの期限が切れると、コピーされたセッションも期限切れになることを、同社は指摘している。

さらに Okta は、盗まれたセッション Cookie のリスクを最小化するために、組織が取ることのできる手段についても強調している。たとえば、ダウンストリーム・アプリケーションの場合には、Okta の管理者は MFA を含む追加のサインオン・ポリシーを要求することが可能だ。同様に、セッションを登録デバイスまたは管理デバイスに関連付けることで、他のデバイスからの不正なセッション確立のリスクを最小化できると、Okta は述べている。

ゼロトラストをキーワードにするなら、クッキー。セッション・ハイジャックに負けてしまう ZTNA/MFA ツールでは意味がないという、Mesh Security の主張は筋が通っていると思います。それにしても厄介なのは、クッキーの存在です。7月28日の「Google の計画変更:Chrome のサードパーティ・クッキー廃止を 2024年まで再延期」では、Google の後退が伝えられ、がっかりした人も多いはずと感じています。インターネットを広告媒体として捉える Google だけに、慎重にならざるを得ない事情は分かりますが、もっとスピードを上げてほしいと思ってしまいます。また、関連情報として、7月30日の「Meta (FB) と米病院が提訴された:ターゲティング広告のために医療データを収集/使用?」も興味深い記事です。よろしければ、ご参照ください。

%d bloggers like this: