“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘

Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop

[srgy]

虚構新聞には「まだ作成していない記事のブクマを先回りして乗っ取れる」脆弱性が存在する https://b.hatena.ne.jp/entry/kyoko-np.net/2017030301.html

[acealpha]

やられた経験上で知ってる限りでいうとspotify、instagram、playstation、Uber、discordにはこの脆弱性がある 全部メールアドレスの確認を怠った哀れなサービスだ

[don_ikura]

俺のメールアドレスでShopify使ってる外人、メールアドレス変更してくれ

[mmddkk]

諸悪の根源は「メールアドレスの確認をしないでアカウント作成」するサービスだな。この機会に撲滅されてほしい。ちなみに私のGmailには間違い登録メールがたくさん届くので、やろうと思えば乗っ取れたりして。

[Byucky]

このパターンと、あとは電話番号の前の持ち主の利用していたサービスにSMS認証でログインできてしまう問題もかなりアレ

[versatile]

パスワードリセットのときに全セッション、発行してるトークンの無効化、をしないとなぁ

[OrientHistory]

これはゼロデイ攻撃どころかマイナスデイ攻撃では？

[gewaa]

「そもそもメールアドレスを特定されてる時点でまぁまぁやばい」ってコメントの意味が分からん。メアドは他人に公開するものだろ。

[ockeghem]

“狙うサービスがメールアドレスの確認をしないでアカウント作成できることを必要とする”<徳丸本初版（2011年）からメールアドレス確認するように書いていたよ

[medihen]

"SSOを逆手に取った攻撃" コードの作成は必要ない攻撃のようだから、これだけ手口を具体的に書いてしまうといたずらも多発しそう。防御は、Webサービスに使うメアドを別に用意して非公開にすることか？

[bluerabbit]

アカウント作成時にメールアドレス確認は必須。パスワードリセットでセッションを破棄しないといけないし、破棄できるようにセッションにCookieStoreは避けるか破棄できる仕組みを事前に組み込んでおく必要がある。

[rryu]

誰のメールアドレスでも登録できるのにメールアドレスをキーにアカウント統合などを行ったらそうなるよねというか。

[diet55]

「後者のメールアドレスを確認しないというのは、ユーザー体験を向上させるためにサービス側がメールアドレスを確認しない（もしくは後回しにする）ことを指す。」（続く）

[NOV1975]

だからそんなレベルでユーザー体験優先とかしちゃダメなんだって。離脱気にして事業にとどめ刺されても知らんよ

[naggg]

あーなるほど。こらは盲点だわ。。

[strawberryhunter]

メールアドレスに対してIdPは1つに固定するだけでかなりマシになりそう。メールアドレスかパスワードを変更したら古いトークンやセッションを無効にすることも必要だな。単一デバイス前提ならログインでも。

[digitalmatic]

なるほど

[surume000]

なるほど

[Pinballwiz]

まだ作成してないえきねっとを先回りして解約してくれる親切な人もおるんやな～。

[odakaho]

“前提条件として、攻撃者が被害者のメールアドレスを取得していること、狙うサービスがメールアドレスの確認をしないでアカウント作成できること”

[arguediscuss]

「乗っ取る」というより、「相乗り（して後から入ってくる情報を窃取）する」が正しいのでは？　Zoomでやられたら、ミーティング名やミーティングIDとパスコードを窃取される。

[adsty]

シングルサインオンを逆手に取った攻撃。

[sun330]

セキュリティ攻撃記事、いまつらい…。上司の目にとまらないことを祈る。

[koreyonda]

その発想はなかった。すげえな。

[uehaj]

メール到達を確認せずにメールアドレスアカウントを作れる場合、そのアカウントで誹謗中傷や脅迫行為しまくっておけば、後から本人が実際にそこでアカウントを作らなくてすら、人を陥れることができるな。

[lli]

なるほどねー

[kaputte]

これはきびしい

[tsutsuji360]

これからサービス始めるアカウントを乗っ取っとるということ？

[privates]

アホな芸能人が使う「乗っ取られた」とは違う乗っ取りだった。

[moromoro]

ワイのメアドで登録する人ほんとやめてくれ。。

[megadrive]

あかんやん “防げなかったサイト、ZoomやInstagram、Dropbox、LinkedInなど”

[minatonet]

そのサービスでアカウント作ったかどうかすら憶えてないことよくあるもんな…

[lb501]

なるほどね。確かにメール認証なしのサービス

[ET777]

たし蟹

[takuya_1st]

んん？

[t_motooka]

これは良いまとめ

[dltlt]

なるほど……被害者が（以前に作成したのを忘れてたと思いこんで）リセットをかけると、当人のメルアドにリセットコード or URLが届いて、先回りアカウントをリセット⇒使用開始できちゃうからか。

[tanakamak]

そんなんあかんと違う?