FIDO2認証をバイパスされる脆弱性 セキュリティ研究者が複数のユースケースを検証：セキュリティニュースアラート

Silverfortは、FIDO2認証が中間者攻撃によってバイパスされる可能性があると発表した。同社は複数の認証ツールでこの脆弱性を検証し、どうすればバイパスできるかを解説した。

[後藤大地，有限会社オングス]

　セキュリティ企業のSilverfortは2024年5月6日（現地時間）、FIDO2の認証プロセスが中間者攻撃（MITM）によってバイパスされる可能性があると指摘した。

FIDO2の認証プロセスをバイパス　複数のツールでテストした結果とは？

　FIDO2はパスワードに代わって物理的または組み込みのキーを使用して認証を実施する技術だ。Fast Identity Online（FIDO）アライアンスによって策定されており、主に中間者攻撃やフィッシング、セッションハイジャック攻撃などからユーザーを保護する安全な方法として知られている。

　FIDO2の認証フローは、WebAuthn API仕様とClient to Authenticator（CTAP）プロトコルで構成されている。プロセス全体はWebブラウザが管理するため、デバイスの登録と認証の2つのステップで利用できる。通信には公開鍵暗号を使うため、フィッシングや中間者攻撃、セッションハイジャック攻撃のリスクを排除できるとされている。

　しかしSilverfortによると、FIDO2による保護をバイパスする中間者攻撃が可能だ。同社は「Yubico」「Entra ID SSO」「PingFederate」といったFIDO2の認証を利用するセキュリティツールのユースケースを公開した。

• Yubico：　YubicoはFIDOのセキュリティ機能やキーのデモンストレーションおよびテストを目的としたツールだ。認証に成功すると「session」という名称でCookieが生成される。このCookieは有効期限が切れるまで任意のデバイスで使用される。攻撃者はこのCookieを取得することで認証ステップをバイパスできる
• Entra ID SSO：　Entra ID SSOはさまざまなシングルサインオン（SSO）プロトコルと認証方法をサポートするセキュリティ機能を提供している。ユースケースでは、OpenID Connect（OIDC）プロトコルを介したネイティブのMicrosoftのアプリケーションや「Microsoft 365」「Microsoft Azure portal」、SAMLプロトコルを介したサードパーティーアプリケーションの例を検証している。攻撃者は認証プロセスを中継しなくても、署名付きトークンの再利用やCookieの生成によって攻撃が可能となる
• PingFederate：　PingFederateはさまざまなエンタープライズアプリケーションにフェデレーションSSOを提供している。認証を実行するためにサードパーティーのアダプターを使用しており、FIDO2機能は「PingOne」と呼ばれるアダプターで利用できる。ユースケースによると、証明書を利用する開発者がOIDCトークン（またはSAMLレスポンス）を検証しない場合、中間者攻撃が成功する可能性がある

　FIDO2は優れたセキュリティ機能を提供するが、実装するだけでは十分ではないことを認識する必要がある。