~攻撃者は盗み出したセッション Cookie を用いて正規のユーザーになりすまし、 ネットワーク上を自由に移動します~

9月 13, 2022 —

次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、Sophos X-Opsチームが公開した「Cookieの窃取:新たな侵入経路」レポートの中で、攻撃者が盗み出したセッションCookieを悪用して多要素認証(MFA)を迂回し、企業のリソースにアクセスする事例が増えていることを本日、発表しました。いくつかのインシデントではCookieの窃取自体が高度な標的型攻撃になっており、攻撃者はネットワーク内の侵害されたシステムからCookieデータを収集し、悪意のある活動を隠ぺいするために正規の実行ファイルを使用していました。攻撃者が一度Cookieを使用して企業のWebベースリソース、あるいはクラウドリソースへのアクセスを得ると、そのアクセスはたとえばビジネスメール詐欺、別のシステムにアクセスするためのソーシャルエンジニアリング、さらにはデータやソースコードリポジトリの改変など、波状的な攻撃に悪用されます。

ソフォスの主任脅威リサーチャーであるSean Gallagherは、以下のように述べています。「最近1年間、攻撃者は導入が進むMFAを迂回するため、Cookieの窃取に注目するようになってきました。攻撃者は認証用Cookie(アクセストークン)の入手プロセスを簡素化するため、Raccoon Stealerのように新しく、改良された情報窃取型のマルウェアを使用するようになっています。セッションCookieを所持していれば、攻撃者は正規のユーザーになりすまして、ネットワーク内を自由に動き回ることができます」

セッションCookie(認証Cookie)とは、ユーザーがWeb上のリソースにログインする際にWebブラウザが保存する特殊なCookieです。攻撃者がセッションCookieを入手すると、新しいWebセッションにアクセストークンを注入する「Pass-the-Cookie」攻撃を仕掛けて、ユーザーが認証されているようにブラウザを騙して認証を回避します。これらのトークンはMFAを使用していても生成され、Webブラウザ上に保存されます。そのため、MFAを使用している場合であっても同様の攻撃を受けると認証を迂回されます。さらに厄介なことに、多くの正規のWeb ベース・アプリケーションでは、Cookieはほぼ無期限で保持されます。無期限ではないCookieも、ユーザーが意図的にサービスからログアウトした場合にのみその期限が切れます。

サイバー犯罪ではマルウェアがサービスとして提供されるようになっており、技術的なスキルのない攻撃者であっても容易に認証情報を窃取できるようになっています。たとえばRaccoon Stealerのような情報窃取型トロイの木馬を購入するだけで、パスワードやCookieなどのデータを大量に収集し、Genesis などの犯罪市場で販売できます。ランサムウェアのオペレーターなど他の攻撃者は、これらのデータを購入し、攻撃に利用できる情報を選別して活用できます。

一方、ソフォスが最近調査した2件のインシデントでは、攻撃者はより標的型攻撃に近いアプローチを取っていました。ある事例では、攻撃者は標的のネットワーク内で数か月間にわたってMicrosoft EdgeブラウザからCookieを収集していました。この事例では、最初の侵害ではエクスプロイトキットが使用されていました。その後、攻撃者はCobalt StrikeとMeterpreterを組み合わせて正規のコンパイラツールを悪用し、アクセストークンを収集しています。もう一方の事例では、攻撃者は正規のMicrosoft Visual Studioコンポーネントを使用して、1 週間にわたってCookieファイルをスクレイピングする、悪意のあるペイロードを投下しました。

先述のGallagherは次のように述べています。「過去にはCookieを大量に盗み出す例もありましたが、最近の攻撃者は標的を絞った正確なアプローチでCookieを盗み出しています。業務の多くがWebベースに移行しているため、攻撃者は盗み出したセッションCookieを使って、さまざまな悪意のある活動を行えます。たとえばクラウドインフラストラクチャを改ざんしたり、ビジネスメール詐欺を行ったり、他の従業員にマルウェアをダウンロードさせたり、製品のコードを書き換えたりすることさえできます。攻撃が思いつくことができるあらゆる攻撃が可能になるのです。さらに厄介なことに、この問題は簡単には解決できません。たとえば、サービスを提供する側でCookieの有効期限を短縮することは可能ですが、その場合、ユーザーに今よりも頻繁に再認証させる必要が生じます。また、攻撃者が正規のアプリケーションでCookieをスクレイピングするようになったため、企業はマルウェアの検出と動作解析を組み合わせて対応する必要があります」

セッションCookieの窃取の方法や攻撃者が盗み出したCookieを悪用してどのような活動を実行しているかについての詳細は、Sophos.comで「Cookie の窃取:新たな侵入経路」を入手して参照してください。

参考情報

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。