マイクロソフトのログインシステムのバグによるアカウント乗っ取りの危機

Microsoft(マイクロソフト)は、ログインシステムの脆弱性を修正した。イスラエルのサイバーセキュリティ会社であるCyberArkの研究者が、同社がうっかり抜け穴を開いたままにしていたことを発見した。それが悪用されればアカウントトークンを吸い出され、まったく気付かれないようユーザーのアカウントにアクセスするために使われる可能性もあったという。

画像クレジット:Getty Images

このバグは、攻撃者に、ユーザーのアカウントトークンをこっそりと盗むことを許してしまう。アカウントトークンとは、ユーザーが毎回パスワードを入力しなくても、ウェブサイトやアプリを使えるようにするためのもの。こうしたトークンは、ユーザーがログインすると、アプリまたはウェブサイトによって作成され、以後はユーザー名とパスワードの代わりに使われる。これによって、ユーザーはサイトに永続的にログインしたままになる。さらにユーザーは、パスワードをいちいち入力しなくても、サードパーティのアプリやウェブサイトにもアクセスできるようになる。

CyberArkが、TechCrunchにのみ明かした最新の調査結果によれば、マイクロソフトが開発したいくつかのアプリには、数十もの未登録のサブドメインが接続されていた。そうした純正のアプリは堅く信用されているため、それらの関連付けられたサブドメインを使えば、ユーザーの明示的な同意を得ずに、自動的にアクセストークンを生成できてしまう。

攻撃者がそうしたサブドメインを所有していれば、疑いを持たせずにユーザーをだまし、特製のリンクを電子メールまたはウェブサイトの中に置いてクリックさせ、簡単にトークンを盗むことができる。

研究者によれば、場合によっては「ゼロクリック」の手法を使うことも可能だという。その名前が示すように、ほとんどユーザーの操作を必要としない方法だ。埋め込まれたウェブページを隠すような悪意のあるウェブサイトは、電子メールに記述するのと同様の悪意のあるリンクを、こっそりとトリガーにして、ユーザーのアカウントトークンを盗むことも可能だったという。

幸いなことに研究者たちは、脆弱なマイクロソフトアプリから見つけたサブドメインを可能な限り登録し、悪用されるのを防ぐことができた。しかし、他にも同様のサブドメインがある可能性を警告していた。このセキュリティ上の欠陥は、10月下旬にマイクロソフトに報告され、その3週間後に修正された。

「このレポートで言及されたアプリケーションの問題は、11月に解消しました。お客様は、引き続き保護されています」とマイクロソフトの広報担当者は述べている。同社が、ログインシステムのバグを修正するために行動したのは、今回が初めてではない。ちょうど1年ほど前も、同社は同様の脆弱性を修正している。その際は、不適切に構成されたMicrosoftのサブドメインのレコードを研究者が変更し、Officeアカウントのトークンを盗むことができてしまうというものだった。

関連記事

原文へ

(翻訳:Fumihiko Shibata)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。