Microsoftサービスでアカウント乗っ取りの問題報告

OutlookやAzureなどのアカウントを乗っ取ることができてしまうCSRF問題が発覚。Microsoftは連絡を受けてから2日で対処した。

» 2016年04月06日 08時07分 公開
[鈴木聖子ITmedia]

 Microsoftの「outlook.com」「live.com」といったサービスにアカウントを乗っ取ることができてしまう問題が存在していたとして、セキュリティ研究者がブログで報告した。Microsoftは連絡を受けた2日後にこの問題を修正したという。

 セキュリティ研究者のジャック・ウィットン氏は4月3日のブログで、MicrosoftサービスへのログインURLに存在していたクロスサイトリクエストフォージェリ(CSRF)の問題について解説している。

 それによると、OutlookやAzureではそれぞれ個別のトークンを発行してユーザー認証に使っているが、フィッシング詐欺サイトを開設して複数の“隠しiframe”を仕込み、それぞれのサービス用のログインURLを設定する方法でOutlookやAzure用のトークンを収集できてしまうことが分かった。

トークンを収集するデモ(ジャック・ウィットン氏のブログより)

 ウィットン氏はこのトークンを使ってユーザーのアカウントにアクセスできることを実証し、Microsoftに通報したという。

 通報したのは1月24日で、Microsoftはその日のうちに問題の存在を確認。同月26日には修正を済ませたという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ