セッションCookie窃取に対抗する新機能解説–Okta Japan

今回は「セッションCookie窃取に対抗する新機能解説–Okta Japan」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Okta Japanは、2024年4月にEarly Accessリリースとなったセキュリティ機能「Identity Threat Protection with Okta AI」に関するプレス向け説明会を開催した。継続的なアイデンティティー脅威評価を行うことで、セッションCookieを窃取する「Pass-The-Cookie」とも呼ばれる攻撃手法に対しても有効だという。

 説明を行ったシニアソリューションエンジニアの岸本卓也氏は、セッションCookie窃取が増加している理由として「パスワードレスや多要素認証が普及してきたことで、攻撃者は認証情報を盗むことが難しくなってきた」と指摘した。

 ウェブサイトにログインする場合など、最初にログインに成功すれば、その後の通信は自由にできるのが普通だ。ウェブサイトへの通信が発生する度に毎回ユーザー認証を実行するなら、ページを移動する度に毎回認証プロセスのやり直しといった煩雑な状況になってしまうが、これでは実用性に欠けるため、一度認証に成功した後は「認証の証明(Proof of Authentication)」を発行し、これを所持しているユーザーからのアクセスは認証済のものとして信頼する仕組みとなっている。

 「認証の証明」にはさまざまな実装方法が考えられるが、セッションCookieはその一つだ。ユーザー認証が完了したらウェブサーバー側からユーザーにセッションIDが送られるので、以後はユーザーからの通信(httpリクエスト)のヘッダーにCookie情報としてこのセッションIDを埋め込んでおくことで通信を継続できる。

 サイバー攻撃者が何らかの手段でこのセッションIDの窃取に成功すると、攻撃者が正規ユーザーになりすましてウェブサーバーにリクエストを送信できるようになる。岸本氏は「2023年、攻撃者によって盗まれたフォーチュン1000の従業員に関連するセッションクッキー数は約19億」という調査結果を紹介し、セッションCookieの窃取が深刻なリスクとなりつつある状況を警告した。

 Identity Threat Protection with Okta AIは現在Early Accessリリース中で、正式リリースは2024年後半を予定している。継続的なアイデンティティー脅威評価と自動対処が可能で、セッションCookie窃取のような攻撃に関しても、例えば「同じセッションIDが異なるIPアドレスから送られてきた」といった状況を検知することで捕捉できる可能性がある。

 Extended Detection and Response(XDR)、Cloud Access Security Broker(CASB)、モバイルデバイス管理(MDM)、SaaSアプリケーション、ネットワークなど、スタック全体のさまざまなコンポーネントからのシグナルを活用し、コンテキストの変化を即座に把握するという。Open ID Connectを推進する業界団体であるOpenIDの「Shared Signals Framework」(SSF)を活用しているとのことで、同仕様をサポートするベンダーの製品とは連携可能だ。

 Identity Threat Protection with Okta AIは、実際にはネットワーク上のトラフィックを常時モニタリングするわけではないため、例えばシングルサインオンを利用して新たなアプリケーションにアクセスする場合など、Oktaへの問い合わせが発生したタイミングでチェックを行う形となる。

 ノーコードで設定可能なワークフロー機能も備わり、自動的な対処を設定しておくことができる。対応のアクションには「Universal Logout」という、アプリケーションへのアクセス権を即座に無効化する機能も用意されており、問題を検知した際に即座にアクセスを遮断して被害拡大を阻止することもできる。

 ID/パスワード認証の弱さが指摘され、パスワードレス認証や多要素認証(MFA)などが普及すると、さらにそれを攻撃する手法が急増する、という形のいたちごっこが続いている状況だが、認証の証明を窃取して悪用するという攻撃が増えている以上、何らかの対策が求められることに変わりはないだろう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ゲッティイメージズ、画像生成AIサービス「iStockの生成AI」発表–著作権侵害の心配なし
IT関連
2024-01-11 21:35
インド当局がグーグルに対し印スマートTV市場での独禁法調査を命令
ハードウェア
2021-06-24 15:13
新しいコンセプトのロボティクスに挑むRapid Roboticsが13.2億円調達
ロボティクス
2021-04-13 17:12
Apple、手話通訳サービス「SignTime」を発表
IT関連
2021-05-21 20:28
NVIDIA CEO、AIにより人間の言葉がプログラミング言語となったことで、プログラミングを学ぶことは重要でなくなった、と発言
NVIDIA
2024-03-12 08:39
Electron代替を目指す軽量なフレームワーク「Tauri v2」β版リリース。iOS/Android対応など
HTML/CSS
2024-02-06 16:05
課題を言語化し変革を自走するコンサルティングに自信–Ridgelinezの今井CEO
IT関連
2024-04-12 21:40
NEC、過去事例から新規施策立案を支援するAI開発–購買行動分析などに活用可能
IT関連
2022-03-03 16:23
2025年に4000量子ビット超を目指す–日本IBMが示す量子プロセッサーの工程表と意義
IT関連
2022-07-02 14:08
怪奇現象? お湯を注ぐと質量が“減る”コーヒーの謎 電子はかりメーカーに理由を聞いた
科学・テクノロジー
2021-08-15 20:03
ゼンリンCVC子会社出資第1号の「レイ・フロンティア」とゼンリンが移動最適化や位置情報ビジネスで提携
モビリティ
2021-06-08 22:12
ポケモンカードやレアなおもちゃなどコレクター品をライブ配信で販売するアプリ「Whatnot」が21.7億円調達
ネットサービス
2021-03-07 05:26
空調の改修不要、低コストで新型コロナの室内感染を防ぐCurran Biotechの新しいナノコーティング
ヘルステック
2021-03-17 08:49
IBM、世界初の2nm半導体技術を発表 バッテリー寿命は7nmの4倍
製品動向
2021-05-09 07:02