『まだ作成していないユーザーアカウント』を先回りして乗っ取る攻撃 米Microsoftなどが指摘

利便性とセキュリティの確保は相反する場合があって、なかなか正解がない。
面倒だとユーザーに嫌われるが、簡便にしすぎると乗っ取られる。
ジレンマだね。

こんな方法があるのか。面白い。こわい

> 今回はこのSSOを逆手に取った攻撃を行う。前提条件として、攻撃者が被害者のメールアドレスを取得していること、略

まだ作成していないアカウントを先回りして乗っ取ることができる攻撃手法が指摘された。
「googleでログイン」などSSO認証の仕組みを利用する。攻撃者が対象のメールアドレスを有している場合、対象のサービスがメールアドレスの確認をしない場合に可能となる攻撃とのこと。

これ新品のアドレスなら防げるか。

うーむ。

【セキュリティ注意喚起】
タイトル見て、その手があったか、と思ったのですが、実際には細かなバリエーションがあるようです。
何はともあれ、認証なしアカウント登録や「そのアカウントは登録済み」表示は気をつけた方がいいという話。

誰のメールアドレスでも登録できるのにメールアドレスをキーにアカウント統合などを行ったらそうなるよねというか。

気になる今日のニュース

読売新聞オンラインが不正アクセス被害に 対策で3万人のパスワード無効化

まだ作成していないユーザーアカウントを先回りして乗っ取る攻撃が存在します。
よー考えるわ・・・。学生の皆さんも多く利用するインスタグラムもこの攻撃を受ける恐れがあるようです。アカウント作成時にメールでコード認証させるサービスが増えていますが、重要ですね。

> 「Googleでログイン」「Twitterでログイン」「Facebookでログイン」などを（略）「シングルサインオン」（SSO）
（略）
> 防げなかったサイトには、ZoomやInstagram、Dropbox、LinkedInなどが含まれた。

4. Unexpired Email Change Attack
> 新規登録しようとすると「このメールアドレスは既に登録されています」と表示されるため、ログイン画面からパスワードのリセットをかける。

> 攻撃者には先ほどのメールアドレス変更の確認メールが届いているため、その変更を確定する。

2. Unexpired Session Identifier Attack
> 被害者が同じアドレスで新規登録しようとすると「このメールアドレスは既に登録されています」と表示されるため、ログイン画面からパスワードのリセットをかける。リセットしても攻撃者がログインしていたセッションは切れないため

> 例えば、メールアドレスとパスワードを入力して新規アカウントを作成するケースで、本人以外のアドレスでも取得できる場合や、認証のためにそのアドレスに確認メールを送るがユーザーが確認ボタンを押さなくてもサービスを使える場合がそれにあたる。

「後者のメールアドレスを確認しないというのは、ユーザー体験を向上させるためにサービス側がメールアドレスを確認しない（もしくは後回しにする）ことを指す。」（続く）

怖すぎ(；・∀・)

気になる今日のニュース

読売新聞オンラインが不正アクセス被害に 対策で3万人のパスワード無効化

例えば私のメールアドレスで、アカウントを作られちゃうってこと？

とりあえずメモ。

「Google/Twitter/Facebookでログイン」機能は使わないことと、新垢作成時に自分のメアドが既に登録済みだったら警戒するってとこか

登録した覚えのないサービスからユーザー向けメールが来てて、昔登録したサービスが一新したか乗っ取り狙いなのか分からず放置してる。

なるほど…
何れにせよアカウント作成時にメアド確認するステップは省いちゃダメだな

『攻撃者が被害者のメールアドレスを取得していること』という意味のとれない
日本語 (誤訳というより無訳?)

よく考えるなぁ

5種類の攻撃を有名な75サイトで試したところ、35サイトが1種類以上の攻撃を防ぐことができなかった

いろんな事考えるなーと思う。

どういうことだってばよ?状態で攻撃手段読んだらなんとなく理解できた。えぐいな... |

他サービスのアカウントでログインできるSSOの機能を悪用する攻撃手法

あの手この手、大変出てくる。

よく考えるなあ。基本紐付けログインはしていないが正解だったか。

記事タイトルだけじゃわけわからんかった

登録確認メールを送ってこないサービスはなくなってほしい・・・他人のメールで登録できるなんて、脆弱性以外の何物でもない。＞

だからそんなレベルでユーザー体験優先とかしちゃダメなんだって。離脱気にして事業にとどめ刺されても知らんよ

世界はきびしい｜

面白い

前からメールアドレス確認を後回しにされるサービス見かける度にこれ出来そうだなと思ってたけど今更指摘されてるんかい。

これは乗っ取りというのか罠というのか

“狙うサービスがメールアドレスの確認をしないでアカウント作成できることを必要とする”<徳丸本初版（2011年）からメールアドレス確認するように書いていたよ

こわい

本人のログインがトリガーになるのか。本人のログインを促す場合もあって、何かの漁法みたいだな。

メールアドレス認証は必要という話

これ面倒くさい

第三者認証のログインはなんか怪しさや危うさがあると思っていたり、ログインを試みると勝手に会員登録しようとするサービスが嫌いなのだけど、こういう話題出てきた

なるほど(´･ω･)

コレは怪談話よりよっぽど恐ろしく感じます。

ユーザー体験とセキュリティのバランスは難しいですね。

言われてみれば確かに ::

なるほど
"有名な75サイトで試したところ、35サイトが1種類以上の攻撃を防ぐことができなかったという。防げなかったサイトには、ZoomやInstagram、Dropbox、LinkedInなどが含まれた"

米研究者らは、まだ作成していないWebサービスのアカウントを乗っ取る、SSOを逆手に取った攻撃について論文で指摘。攻撃者が被害者のメールアドレスを取得していること、狙うサービスがメールアドレスの確認をしないでアカウント作成可能なことが前提として必要。

ゲゲーッ

これやられたら回避できんな。。。

考えたこと無かったけど、確かに出来そうな手法だな。「ZoomやInstagram、Dropbox、LinkedInなど」有名どころも攻撃可能らしく、やばいんじゃね？

(｡･ω･｡)ﾉ

頭良すぎる。。ハッカーから見るとリアル魚釣りレベルなんだろうな。騙し勝ちってかんじなんだろうな

「5種類の攻撃方法」の所だけでも読んどいた方がいい。

これはきびしい

その手があるのか(マネしちゃダメです)

登録した覚えがないのに「このメールアドレスは既に登録されています」と表示されたときの対応についての示唆がある。

メールアドレス確認無しで登録できる仕様は絶対許しちゃダメなような…。ただアカウントを乗っ取ると言っても、自分が登録しようとした際に「すでに登録済みです」で困るのは間違いないものの、攻撃者は何のデータも無い新規アカウントを乗っ取ってどうするのだろうか…？

あかんやん “防げなかったサイト、ZoomやInstagram、Dropbox、LinkedInなど”

よからぬ人達がこのレポート見た瞬間メチャクチャ登録仕掛けてると思うんですけどどうでしょう

メールアドレスの所有を確認せずにアカウント有効化を進めてしまう実装も怖いけど、ここに書いてない似たようなやつだと携帯番号のリサイクルによって他人のソーシャルアカウントと紐付いちゃうやつも怖い。認証に使った携帯番号はうかつに手放せない。

これはちょっとやばそうなやつ。

迷惑な行為だね。
まずは、ちゃんとそのメールアドレスが機能しているか確認してほしいよね。

これは良いまとめ

これは怖い。成功率高そう。

おもろ

Classic-Federated Merge Attack等々・・・
安全確保支援士の試験で追加されるの間違いなしだ

これなるほどなーってなった🧐

アカウント作成時メールアドレスの確認をしないサービス怖いよなぁ
この前Disney+に登録したけど、Disney+もメールアドレスを確認しないままアカウント作成できるしクレカやPaypalを登録して課金処理もできちゃう作りになっててこえーなと思った

よくこんなの思いつくなあ。セキュリティは難しい。

以前某メーカーのPCをネット購入した際、メールアドレスを間違えたため確認は来ないし、運よく気づいたがアドレス無効でログイン失敗するにも関わらず、出荷作業は着々と進んでいた事があったから、他人事と思えぬ。

これ、本当に厄介なシステムの欠損だな。

ひえー

tsudaとかで本人より先にアカウントを作っちゃうことかと思った。

“前提条件として、攻撃者が被害者のメールアドレスを取得していること、狙うサービスがメールアドレスの確認をしないでアカウント作成できることを必要とする。”

> ZoomやInstagram、Dropbox、LinkedInなどが含まれた。
これはサービス側がメールアドレスの確認を必須にするしかないのかな

悪知恵との闘い。

メアド確認せずにアカウント作れる有名サービス、結構あるんだよね……（似たメアドの人が登録してて、僕から電話したけどサポセンの人には何もできないらしい。「上に伝えて」と言っておいたけど……）

仕組み単純なので結構影響大きそう。。

駄目なのはこの部分 > 本人以外のアドレスでも取得できる場合や、認証のためにそのアドレスに確認メールを送るがユーザーが確認ボタンを押さなくてもサービスを使える場合

Playstationユーザ登録の際にメアドをtypoしたまま利用開始してしまい、登録事項変更の際にメール認証使えなくて困った事あった。ユーザ登録時にメアドで本人確認しないwebサービスの脆弱性

「Googleでログイン」「Twitterでログイン」「Facebookでログイン」など…前提条件として、攻撃者が被害者のメールアドレスを取得していること、狙うサービスがメールア…

だってさ

これは怖い
どないしたらええのですか

うわぁ…にゃるほどにゃあ…😨😨😨

○ →Googleアカウントなとが提供する統合アカウントサービスを流用
メールアドレスを知れば可能

【自分用メモ】

怖すぎるだろあまりにも

↑
自分のGmailのメアドで楽天カード作られて、その人のカード関連のメールが届き続けてる。苦労して外して貰ったけど、直後に別の人が楽天カード作りやがった。自分はそのメアドのエイリアスで楽天プレミアムカード作ってる。
楽天さん、メアド登録時に確認してくれ！

なるほどなー-

ロマン技かと思ったら普通に通用してて草

なんかもう…すげぇな…( ˙-˙ )

へぇ…

なるほど。最近は独自アカウントだけじゃなくGoogleアカウントとかのSSOも使えることが大半だから2つアカウントがあることを利用して片方を乗っ取ることが可能になるのね。

”5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Dropbox、LinkedInなどが含まれた”

ふーん。

使わないWEBサービスもチェックしなきゃならん時代来るか？

なるほどなー。これは確かに成功しそう。

前にも「〇〇でログイン」って何か問題置きてなかったっけ？

こういうのがあるから自分は毎回ちゃんと新規でアカウント作ってるんだよね

"まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘

認証方法「シングルサインオン」（SSO）を逆手にとった攻撃の研究論文

アプリなどからの「ログインの通達」とチェックは必須ということかな。