セキュリティ研究者による論文。

被害者のメールアドレスを使い、サービスに先に登録し、乗っ取りに移行する…といったお話みたいです。

あ、これ2年前に発見して通報したんだけどスルーされたやつだ。

アカウント作成時にメール確認来なかったらやべーサイトと思えばいいのかな。でも後に不都合でそうなったらユーザーは気づけないな

かならずサービス別にアカウントをつくり、メールの確認をはさまないサービスは悪と主張することウン年の俺にスキはなかった

先月あたりからちょくちょく話題になってるものの本来のひとがぱす初期化とかしたら入れなくなるんじゃ？
と思ってするーしてたけど利便性重視で別せっしょんを無効化しなかったりそーしゃるろぐいんで実際に攻撃できるとこがあるのかぁ・・・ （・ｘ【みかん

SSOへの新たな攻撃手法が登場。

攻撃手法をよく理解できていないですが、ユーザーとして、対策はどうすればいいんですかね。SSOを本格導入しようとしていたのに、躊躇してしまう。

「メールアドレスを確認しない」これが迷惑なんだよな…間違って他人のを登録できてその他人にずっと広告というspamメールを送り続ける→解除出来ない

このパターンと、あとは電話番号の前の持ち主の利用していたサービスにSMS認証でログインできてしまう問題もかなりアレ

快適さとセキュリティのジレンマ

面倒ではあるけれども伝統的な確認メールを送ってリンクをクリックさせたり、SMSにPIN送って入力させる一手間は大切ということ。

これから読む🔍(👀))｜

シングルサインオンを逆手に取った攻撃

その中には、ZoomやInstagram、Dropbox、LinkedInなどが含まれた。
「Googleでログイン」など
確認メールボタンを押さなくてもサービスを使える場合

SSOというかソーシャルログインのような気もする。SSOの一部といえばそうやけど

開発者はメールアドレス必ず確認しろ委員会

こわいよー。

これは怖い。

確かにメルアド認証するまでの間にすでに、アカウントは作成されていて、機能制限つきで使えるサービスはある。

自衛の難易度が高い…

“まだ作成していないユーザーアカウン
ト”を先回りして乗っ取る攻撃 米Microsoftなどが指摘

諸悪の根源は「メールアドレスの確認をしないでアカウント作成」するサービスだな。この機会に撲滅されてほしい。ちなみに私のGmailには間違い登録メールがたくさん届くので、やろうと思えば乗っ取れるかも。

"SSOを逆手に取った攻撃" コードの作成は必要ない攻撃のようだから、これだけ手口を具体的に書いてしまうといたずらも多発しそう。防御は、Webサービスに使うメアドを別に用意して非公開にすることか？

あらかじめトラップが仕掛けられているとユーザには防ぎようがないなぁ>

メールアドレスによるログインで確認をしないか後回しにする前提
・アカウント統合可能
・既存ログインの遮断なし
・予備メールでの認証可能
など

メアド登録して待ち構えるって事か -

メールアドレスで会員登録させる際、必ずメールアドレスの確認をさせれば防げる。

これにてゼロデイ攻撃の脆弱性が発生しました！サービス提供者のみなさま、本日中に仕様変更よろ！

確認メールのクリックを正式ログインの条件にしないサービス大丈夫か？と思ってたけどやっぱ大丈夫じゃないよね。

気の長い攻撃だとは思いつつもスマートな発想だなとも思いました。

Microsoftのサービスは問題ないという宣伝? :

これは簡単にできてしまいそうだ

すごいな、天才か

よく考えるなぁ…と思いつつ、普通に食らいそうでやべえ_(:3｣∠)_

『メールアドレスを確認しないというのは、ユーザー体験を向上させるためにサービス側がメールアドレスを確認しない（もしくは後回しにする）ことを指す』

サービス側の仕組みの問題やん…

ちょっと前に同じ内容のよそで見たおぼえがあるな。シンプルにまとまっている。

アカウント作成時に既に乗っ取られていることに気づくことはできるのか？

これめっちゃわかりやすくて面白い内容。自分みたいに職場のセキュリテラ任されてる感の人には楽しい記事。

みてる：

よく考えるなあ…… ＞

「あれ？以前登録してたっけ？パスワードリセットして入ろう」もリスクなんだな

相手のメアドを使用し登録してないサービスを先に新規登録しておきトラップ仕掛け,相手がそのサービスを[Googleでログイン]等で新規登録したら乗っ取り完了。5種類の先回り攻撃を解説

" ちょっとよく分かんない（´・ω・｀）
ジンソーダ缶のCMごよぎった

RSSNEWS001