セッションCookie窃取に対抗する新機能解説–Okta Japan

今回は「セッションCookie窃取に対抗する新機能解説–Okta Japan」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Okta Japanは、2024年4月にEarly Accessリリースとなったセキュリティ機能「Identity Threat Protection with Okta AI」に関するプレス向け説明会を開催した。継続的なアイデンティティー脅威評価を行うことで、セッションCookieを窃取する「Pass-The-Cookie」とも呼ばれる攻撃手法に対しても有効だという。

 説明を行ったシニアソリューションエンジニアの岸本卓也氏は、セッションCookie窃取が増加している理由として「パスワードレスや多要素認証が普及してきたことで、攻撃者は認証情報を盗むことが難しくなってきた」と指摘した。

 ウェブサイトにログインする場合など、最初にログインに成功すれば、その後の通信は自由にできるのが普通だ。ウェブサイトへの通信が発生する度に毎回ユーザー認証を実行するなら、ページを移動する度に毎回認証プロセスのやり直しといった煩雑な状況になってしまうが、これでは実用性に欠けるため、一度認証に成功した後は「認証の証明(Proof of Authentication)」を発行し、これを所持しているユーザーからのアクセスは認証済のものとして信頼する仕組みとなっている。

 「認証の証明」にはさまざまな実装方法が考えられるが、セッションCookieはその一つだ。ユーザー認証が完了したらウェブサーバー側からユーザーにセッションIDが送られるので、以後はユーザーからの通信(httpリクエスト)のヘッダーにCookie情報としてこのセッションIDを埋め込んでおくことで通信を継続できる。

 サイバー攻撃者が何らかの手段でこのセッションIDの窃取に成功すると、攻撃者が正規ユーザーになりすましてウェブサーバーにリクエストを送信できるようになる。岸本氏は「2023年、攻撃者によって盗まれたフォーチュン1000の従業員に関連するセッションクッキー数は約19億」という調査結果を紹介し、セッションCookieの窃取が深刻なリスクとなりつつある状況を警告した。

 Identity Threat Protection with Okta AIは現在Early Accessリリース中で、正式リリースは2024年後半を予定している。継続的なアイデンティティー脅威評価と自動対処が可能で、セッションCookie窃取のような攻撃に関しても、例えば「同じセッションIDが異なるIPアドレスから送られてきた」といった状況を検知することで捕捉できる可能性がある。

 Extended Detection and Response(XDR)、Cloud Access Security Broker(CASB)、モバイルデバイス管理(MDM)、SaaSアプリケーション、ネットワークなど、スタック全体のさまざまなコンポーネントからのシグナルを活用し、コンテキストの変化を即座に把握するという。Open ID Connectを推進する業界団体であるOpenIDの「Shared Signals Framework」(SSF)を活用しているとのことで、同仕様をサポートするベンダーの製品とは連携可能だ。

 Identity Threat Protection with Okta AIは、実際にはネットワーク上のトラフィックを常時モニタリングするわけではないため、例えばシングルサインオンを利用して新たなアプリケーションにアクセスする場合など、Oktaへの問い合わせが発生したタイミングでチェックを行う形となる。

 ノーコードで設定可能なワークフロー機能も備わり、自動的な対処を設定しておくことができる。対応のアクションには「Universal Logout」という、アプリケーションへのアクセス権を即座に無効化する機能も用意されており、問題を検知した際に即座にアクセスを遮断して被害拡大を阻止することもできる。

 ID/パスワード認証の弱さが指摘され、パスワードレス認証や多要素認証(MFA)などが普及すると、さらにそれを攻撃する手法が急増する、という形のいたちごっこが続いている状況だが、認証の証明を窃取して悪用するという攻撃が増えている以上、何らかの対策が求められることに変わりはないだろう。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Fleksyの共同創設者がApp Store詐欺による売上減でAppleを提訴
ネットサービス
2021-03-31 04:47
Sansan、インボイス管理サービス「Bill One」で「発注データ照合オプション」提供
IT関連
2023-07-25 17:02
ByteDanceのCFOがTikTokの新CEOに就任、両職を兼務
ネットサービス
2021-05-02 22:37
著名人対象に公式3D CGモデル「デジタルツイン」を制作・管理・キャスティングするサービス開始、2023年までに500人制作
ネットサービス
2021-08-03 15:55
Deno、SQLiteベースのキーバリューストア「Deno KV」のスタンドアロン版を公開。ソースコードもオープンに
Deno
2023-11-13 10:47
コロナワクチン接種証明アプリ、ニューヨーク州が提供開始 IBMによるブロックチェーンシステム採用
ブロックチェーン導入事例
2021-03-30 22:28
AWS、ローコード開発ツール「AWS Step Functions Workflow Studio」リリース。サーバレスアプリをビジュアルプログラミング
AWS
2021-06-28 17:32
ポケモンGO、6日に「ヤヤコマ」大量発生 捕獲時の経験値3倍に
くらテク
2021-03-06 08:49
CSIRTよりも存在感が大きくなりつつある「PSIRT」の現状
IT関連
2022-11-22 19:34
ITの問題解決に「ChatGPT」を利用する人が7割近くに–米調査
IT関連
2023-04-25 04:09
南アフリカの自動車サブスクリプション会社Planet42がカーボンニュートラルを目指す理由
EnviroTech
2021-05-30 08:38
暗号通貨スタートアップのPhantomがマルチチェーンウォレット拡大のためa16zから資金調達
ブロックチェーン
2021-07-19 13:15
HashiCorpのライセンス変更–意図や影響を製品マーケティング担当幹部に聞く
IT関連
2023-11-07 02:07
機械学習モデルをデバイスごとに最適化してスピードを上げるOctoMLがシリーズBで30.5億円調達
人工知能・AI
2021-03-19 17:45