IEの新たな脆弱性を悪用してcookie狙う、「Cookiejacking」攻撃

2011/06/08

最近、Microsoft Internet Explorerの新しい脆弱性が注目を浴びています。セキュリティカンファレンス「Hack on the Box」で独立系研究者ロザリオ・ヴァロッテ(Rosario Valotta)氏が明らかにしたところによると、この脆弱性を狙った攻撃は、HTML5のプロパティを利用してユーザーのcookie(クッキー)を盗む「Cookiejacking(クッキージャッキング)」というものです。

「Cookiejacking(クッキージャッキング)」は、Internet Explorerのあらゆるセキュリティ対策をすりぬけて、アプリケーションやWindowsの各バージョンに影響を及ぼします。一見、非常に恐ろしい脅威に見えますが、実は大したリスクではありません。以下に、その理由を説明します。

  1. 本当に危険な攻撃やW32/Pinkslipbotなどのマルウェアは、ユーザーに動きが悟られないようにサイレントで実行されますが、Cookiejackingは、不正サイトにアクセスしてドラッグ&ドロップのアクションを行うようユーザーに求めるため、発見が容易です。また犯罪者は、ユーザーのWindowsユーザー名とクッキーの保存場所を知らなければ、攻撃することができません。
  2. 多くのサイトがcookieをプレーンテキストに放置していますが、銀行などの多くのセキュリティが厳重なサイトは、攻撃者がユーザー名やパスワードを簡単に入手できないよう、cookieの数値データを暗号化しています。
  3. 実際に、ログインしたサイトで何回作業したか、いつページを更新するか、再ログインが必要なサイトにいつ移動するか、自問自答してください。cookieを使用するほぼ全てのWebサイトで、cookieが有効である期間は非常に短いでしょう。仮に犯罪者がcookieを盗み出したとしても、盗んだcookieを期限内に利用しない限り効果はありません。

この攻撃が成功する確率は決して高くありませんが、仮に攻撃が成功した場合、攻撃者はアクセスしたサイトやアクセス頻度など、ユーザーの閲覧履歴を全部入手できるようになり、ユーザー宛に作成された大量のスパムやフィッシングメールを送信することが可能になります。また、プレーンテキストに保存しているサイトから、攻撃者がユーザー名とパスワードを入手し、ユーザーの個人情報を特定のサイトで使う可能性も考えられます。ただし、機密情報を扱う多くのサイトは、暗号化cookieを使用しています。

では、Cookiejackingからcookieを守るためには、どうしたら良いでしょうか。cookieを常に感染から守るためには、定期的にcookieを削除すると同時に、オンラインサービスを使い終わった後は、必ずログアウトするように気をつけてください。まずは、アクセスする場所に注意してください。少しでもリンクが怪しいと思った場合は、まずはそのリンクについて検索してください。そして最後に、何があってもWebサイトにセッションを記憶させないことです。セッションを記憶させると、クッキーが有効な状態のままになってしまうため、Cookiejackingに遭う危険性が増加します。

日常のオンライン生活で少し注意を払うことで、簡単にCookiejackingを防ぐことができるでしょう。

関連記事

※本ページの内容はMcAfee Blogの抄訳です。
原文:‘Cookiejacking’ Poses Minimal Danger