セッションCookie窃取に対抗する新機能解説--Okta Japan

渡邉利和

2024-06-28 09:30

 Okta Japanは、2024年4月にEarly Accessリリースとなったセキュリティ機能「Identity Threat Protection with Okta AI」に関するプレス向け説明会を開催した。継続的なアイデンティティー脅威評価を行うことで、セッションCookieを窃取する「Pass-The-Cookie」とも呼ばれる攻撃手法に対しても有効だという。

 説明を行ったシニアソリューションエンジニアの岸本卓也氏は、セッションCookie窃取が増加している理由として「パスワードレスや多要素認証が普及してきたことで、攻撃者は認証情報を盗むことが難しくなってきた」と指摘した。

Okta Japan シニアソリューションエンジニアの岸本卓也氏
Okta Japan シニアソリューションエンジニアの岸本卓也氏

 ウェブサイトにログインする場合など、最初にログインに成功すれば、その後の通信は自由にできるのが普通だ。ウェブサイトへの通信が発生する度に毎回ユーザー認証を実行するなら、ページを移動する度に毎回認証プロセスのやり直しといった煩雑な状況になってしまうが、これでは実用性に欠けるため、一度認証に成功した後は「認証の証明(Proof of Authentication)」を発行し、これを所持しているユーザーからのアクセスは認証済のものとして信頼する仕組みとなっている。

 「認証の証明」にはさまざまな実装方法が考えられるが、セッションCookieはその一つだ。ユーザー認証が完了したらウェブサーバー側からユーザーにセッションIDが送られるので、以後はユーザーからの通信(httpリクエスト)のヘッダーにCookie情報としてこのセッションIDを埋め込んでおくことで通信を継続できる。

セッションCookieの使われ方と攻撃手法概要
セッションCookieの使われ方と攻撃手法概要
※クリックすると拡大画像が見られます

 サイバー攻撃者が何らかの手段でこのセッションIDの窃取に成功すると、攻撃者が正規ユーザーになりすましてウェブサーバーにリクエストを送信できるようになる。岸本氏は「2023年、攻撃者によって盗まれたフォーチュン1000の従業員に関連するセッションクッキー数は約19億」という調査結果を紹介し、セッションCookieの窃取が深刻なリスクとなりつつある状況を警告した。

 Identity Threat Protection with Okta AIは現在Early Accessリリース中で、正式リリースは2024年後半を予定している。継続的なアイデンティティー脅威評価と自動対処が可能で、セッションCookie窃取のような攻撃に関しても、例えば「同じセッションIDが異なるIPアドレスから送られてきた」といった状況を検知することで捕捉できる可能性がある。

Identity Threat Protection with Okta AIの動作イメージ
Identity Threat Protection with Okta AIの動作イメージ
※クリックすると拡大画像が見られます

 Extended Detection and Response(XDR)、Cloud Access Security Broker(CASB)、モバイルデバイス管理(MDM)、SaaSアプリケーション、ネットワークなど、スタック全体のさまざまなコンポーネントからのシグナルを活用し、コンテキストの変化を即座に把握するという。Open ID Connectを推進する業界団体であるOpenIDの「Shared Signals Framework」(SSF)を活用しているとのことで、同仕様をサポートするベンダーの製品とは連携可能だ。

 Identity Threat Protection with Okta AIは、実際にはネットワーク上のトラフィックを常時モニタリングするわけではないため、例えばシングルサインオンを利用して新たなアプリケーションにアクセスする場合など、Oktaへの問い合わせが発生したタイミングでチェックを行う形となる。

 ノーコードで設定可能なワークフロー機能も備わり、自動的な対処を設定しておくことができる。対応のアクションには「Universal Logout」という、アプリケーションへのアクセス権を即座に無効化する機能も用意されており、問題を検知した際に即座にアクセスを遮断して被害拡大を阻止することもできる。

 ID/パスワード認証の弱さが指摘され、パスワードレス認証や多要素認証(MFA)などが普及すると、さらにそれを攻撃する手法が急増する、という形のいたちごっこが続いている状況だが、認証の証明を窃取して悪用するという攻撃が増えている以上、何らかの対策が求められることに変わりはないだろう。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

  4. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  5. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]