Microsoft(マイクロソフト)は、ログインシステムの脆弱性を修正した。イスラエルのサイバーセキュリティ会社であるCyberArkの研究者が、同社がうっかり抜け穴を開いたままにしていたことを発見した。それが悪用されればアカウントトークンを吸い出され、まったく気付かれないようユーザーのアカウントにアクセスするために使われる可能性もあったという。
このバグは、攻撃者に、ユーザーのアカウントトークンをこっそりと盗むことを許してしまう。アカウントトークンとは、ユーザーが毎回パスワードを入力しなくても、ウェブサイトやアプリを使えるようにするためのもの。こうしたトークンは、ユーザーがログインすると、アプリまたはウェブサイトによって作成され、以後はユーザー名とパスワードの代わりに使われる。これによって、ユーザーはサイトに永続的にログインしたままになる。さらにユーザーは、パスワードをいちいち入力しなくても、サードパーティのアプリやウェブサイトにもアクセスできるようになる。
CyberArkが、TechCrunchにのみ明かした最新の調査結果によれば、マイクロソフトが開発したいくつかのアプリには、数十もの未登録のサブドメインが接続されていた。そうした純正のアプリは堅く信用されているため、それらの関連付けられたサブドメインを使えば、ユーザーの明示的な同意を得ずに、自動的にアクセストークンを生成できてしまう。
攻撃者がそうしたサブドメインを所有していれば、疑いを持たせずにユーザーをだまし、特製のリンクを電子メールまたはウェブサイトの中に置いてクリックさせ、簡単にトークンを盗むことができる。
研究者によれば、場合によっては「ゼロクリック」の手法を使うことも可能だという。その名前が示すように、ほとんどユーザーの操作を必要としない方法だ。埋め込まれたウェブページを隠すような悪意のあるウェブサイトは、電子メールに記述するのと同様の悪意のあるリンクを、こっそりとトリガーにして、ユーザーのアカウントトークンを盗むことも可能だったという。
幸いなことに研究者たちは、脆弱なマイクロソフトアプリから見つけたサブドメインを可能な限り登録し、悪用されるのを防ぐことができた。しかし、他にも同様のサブドメインがある可能性を警告していた。このセキュリティ上の欠陥は、10月下旬にマイクロソフトに報告され、その3週間後に修正された。
「このレポートで言及されたアプリケーションの問題は、11月に解消しました。お客様は、引き続き保護されています」とマイクロソフトの広報担当者は述べている。同社が、ログインシステムのバグを修正するために行動したのは、今回が初めてではない。ちょうど1年ほど前も、同社は同様の脆弱性を修正している。その際は、不適切に構成されたMicrosoftのサブドメインのレコードを研究者が変更し、Officeアカウントのトークンを盗むことができてしまうというものだった。
関連記事
- Microsoft、ログインシステムの重大バグを修正
- StockX was hacked, exposing millions of customers’ data
- フードデリバリーのDoorDashが490万人の個人情報流出を確認
- Equifax breach was ‘entirely preventable’ had it used basic security measures, says House report
- 常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
- Capital One breach also hit other major companies, say researchers
- 米百貨店大手Macy’sが昨年に続きデータ漏洩
[原文へ]
(翻訳:Fumihiko Shibata)