正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。
この記事は会員限定です。会員登録すると全てご覧いただけます。
コンピュータ情報サイト「Security Boulevard」は2025年1月3日(現地時間)、「同意フィッシング(Consent Phishing)」の脅威について報じた。
同意フィッシングはユーザーをだましてSaaSアカウントへのアクセスを許可させ、機密情報の窃取やアカウントの乗っ取りを狙う高度なサイバー攻撃だ。この手法はGoogleやMicrosoftなどの正規のOAuthプロバイダーが提供する権限管理機能を悪用するという。
OAuthはユーザーが信頼できるIDプロバイダー(IDP)を通じて認証を実施し、他のアプリケーションがユーザーの認証情報を共有せずにアクセス権限を得られる仕組みだ。
この仕組みは本来、効率的なワークフローやアプリケーションの統合を目的としている。しかし攻撃者はこれを利用して悪意のあるアプリにユーザーが同意を与える形で権限を取得する。典型的な同意フィッシングでは攻撃者が正規のIDPに似たリダイレクト先を用意し、ユーザーに特定の権限の付与を求める。これを承認すると攻撃者はアクセスや操作を可能にするトークンを取得し、不正行為を実行できるようになる。
Security Boulevardは同意フィッシングの危険性を示すケーススタディーを紹介している。
同意フィッシングに対処するためのベストプラクティスは以下の通りだ。
同意フィッシングはクラウドサービスやSaaSの普及に伴い増加しており、企業や個人が標的にされるケースが増えている。正規の手順に見せかける巧妙な手法であるため、細心の注意を払うことが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.