マイクロソフト、アカウント乗っ取りの脆弱性をわずか2日で修正

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部

2016-04-06 11:41

 Microsoftは、攻撃者が任意のサイトからログイントークンを入手することができるアカウント認証の重大なセキュリティホールを、報告からわずか48時間で修正した。

 英国のセキュリティ研究者Jack Whitton氏によれば、この脆弱性は、フィッシング用に作られたウェブサイトでログイントークンを収集することができるというものだ。このトークンは、後日ユーザーのアカウントやデータを乗っ取るのに使用できる。

 Whitton氏は米国時間4月4日のブログ記事で、認証の際にPOSTされる値を操作し、Microsoft製品のユーザーへのなりすまし攻撃を行うことが可能だったと述べている。

 Microsoftは「Outlook」から「Azure」まで、さまざまなオンラインサービスを提供している。ユーザーがこれらのサービスにアクセスする際には、認証情報を入力する必要があり、「wreply」の値で指定されたドメインのアドレスに対して、ユーザーのログイントークンがPOSTされる。このトークンは、ログイン手続きで使用される。

 各サービスは異なるドメインを使用しているため、認証にクッキーは使われていない。このため、認証に必要とされるのはトークンだけであり、この値が攻撃者のサーバにわたってしまえば、そのトークンを使用して被害者になりすましてログインすることができる。

 Whitton氏は、URLエンコーディングされたURLを修正することで、エラーを防止するためのフィルタをバイパスできることを発見した。

 このバグを利用すると、攻撃者は任意のURLを指定して認証トークンをPOSTさせることができるようになる。これを利用して、フィッシング攻撃などによって認証トークンを手に入れることができれば、攻撃者はユーザーアカウントへの完全なアクセスを得ることができる。

 このトークンは、対象とするサービスでしか利用できないが、Whitton氏によれば、非表示のiframeを複数作成して、複数のサービスに対してログインURLを送信すれば、複数のトークンを入手することができるという。

 同氏はこの問題を、日曜日である3月24日に報告した。Microsoftのセキュリティチームはその日のうちにセキュリティホールの存在を認め、26日火曜日には問題を修正したという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]