ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2017年03月22日

偽造クッキー(Cookie)で大量アカウント流出、米ヤフーが2年間気付けなかった理由

3月1日、米Yahoo!(以下、ヤフー)は、過去に発生した2件の大規模なサイバーインシデントによる被害を発表し、米証券取引委員会(SEC)に詳細を報告した。2件のインシデントとは、2014年に発生した5億人分のアカウント情報の漏えい(すでに公表済)と、新たに発覚した2013年の10億人のアカウント情報の漏えいのことだ。この攻撃の中で、3200万人のアカウントに対し、偽造クッキーによる不正アクセスも確認された。偽造クッキーとはいったいどのように造られ、どのような被害を及ぼすのだろうか。

執筆:フリーランスライター 中尾真二

photo

クッキーの偽造で大量のアカウント流出… 犯人の目的は?

(© faithie – Fotolia)



クッキーが偽造されるとどうなるか

 ヤフーが3月に発表したインシデント報告は、過去に億単位のユーザー情報が漏えいしていたこともさることながら、米証券取引委員会(SEC)への報告書では、攻撃元について国家的なグループの存在を示唆しており、かなり高度な攻撃だったと主張している。

 内部の秘密情報にアクセスし、ソースコードレベルでクッキーの詳細情報を盗んだうえ、偽造クッキーを生成し、3200万人ものユーザーの通信に対し、不正アクセスが行われてきたことを挙げている。

 これがなぜ国家が関与するような高度な攻撃なのかを説明する前に、そもそもWebの世界における「クッキー」とはどういうものかを簡単に説明しよう。

 クッキーとは、HTTP/HTTPS通信において、Webサーバーが、特定ユーザーのアクセスであることを把握するための仕組みである。

 たとえば、ログインの必要があるサイトを利用する際に、アクセスするたびにIDとパスワードを入力せずに利用できるのは、クッキーによって前回のログイン状態を保持するような処理をしているためだ。ほかにも、前回アクセスしたページから再開できるようにしたり、ユーザーごとにセッション管理をしたりといったことを可能にするのがクッキーのメリットである。

 クッキーの情報は、ユーザーごとにサーバーが割り当てたセッションIDをベースに構成される。あるユーザーからのアクセスにクッキー情報があれば、サーバーはそのクッキーに対応したセッション情報によって、ログイン状態を引き継ぐことができる。

内部情報からクッキーの作り方を盗むという攻撃

 注意しておきたいのは、クッキーによるログイン状態の保持は、ID・パスワードによる認証を行っているというわけではない。そのユーザーのセッションIDが一致すれば前回(または以前)に認証済みのアカウントとして扱っている。

 つまり、誰かのセッションIDがわかれば、そのユーザーになりすましてWebサイトにアクセスしたり、サーバーからの応答を横取りしたりすることができてしまうのだ。

 しかし通常は、どのセッションIDが誰のもので、どのようにして決まるのかといった情報は、Webサイトを設計、構築した人、内部資料でしかわからない。

 これまでにもクッキーを詐称したり盗んだりする事例はあった。たとえば、XSSや通信路の傍受など、なんらかの方法でセッションIDを入手する方法や、クッキーのドメイン情報に、都道府県ドメインやホスティングサービスのドメインを指定できてしまい、特定ユーザーごとのクッキーでなくなるといった脆弱性「クッキーモンスターバグ」を利用した方法など主なものだった。

 これに対して、今回ヤフーが受けた3200万件ものクッキー偽造の事例は、過去のそれとは毛色が異なるものだ。攻撃者は何らかの方法で正規のクッキーを詐称するため、ヤフーのサーバーや内部システムまで侵入し、その生成情報を入手したと思われる。

 そこまで社内のシステムに入り込み、ピンポイントでクッキーのセッションIDの詳細情報にアクセスできたということは、それなりの技術力を持った攻撃者、国家による支援を受けたグループが疑われるというのがヤフーの主張だ。

【次ページ】ベライゾンによる買収との関連は?

Webセキュリティ ジャンルのセミナー

一覧へ

Webセキュリティ ジャンルのトピックス

一覧へ

Webセキュリティ ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング