ニュース
Microsoftサービスでアカウント乗っ取りの問題報告
OutlookやAzureなどのアカウントを乗っ取ることができてしまうCSRF問題が発覚。Microsoftは連絡を受けてから2日で対処した。
Microsoftの「outlook.com」「live.com」といったサービスにアカウントを乗っ取ることができてしまう問題が存在していたとして、セキュリティ研究者がブログで報告した。Microsoftは連絡を受けた2日後にこの問題を修正したという。
セキュリティ研究者のジャック・ウィットン氏は4月3日のブログで、MicrosoftサービスへのログインURLに存在していたクロスサイトリクエストフォージェリ(CSRF)の問題について解説している。
それによると、OutlookやAzureではそれぞれ個別のトークンを発行してユーザー認証に使っているが、フィッシング詐欺サイトを開設して複数の“隠しiframe”を仕込み、それぞれのサービス用のログインURLを設定する方法でOutlookやAzure用のトークンを収集できてしまうことが分かった。
ウィットン氏はこのトークンを使ってユーザーのアカウントにアクセスできることを実証し、Microsoftに通報したという。
通報したのは1月24日で、Microsoftはその日のうちに問題の存在を確認。同月26日には修正を済ませたという。
関連記事
- 日産「リーフ」のアプリに脆弱性、他人の車を遠隔操作可能に
アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。 - ゲーム配信のSteamでアカウント乗っ取り横行、トレードのセキュリティ対策強化
アカウント乗っ取りの被害は毎月7万7000件あまりに達し、何者かにアカウントを乗っ取られて自分のアイテムがトレードされ、売り払われてしまう被害が頻発しているという。 - Ciscoの「Cloud Web Security」、ドメイン乗っ取りの被害に
「Cloud Web Security」の提供に使われている「scansafe.net」のDNS情報が一時的に乗っ取られ、マルウェアサイトのIPアドレスに書き換えられていたという。 - 走行中のJeepを乗っ取り操作、セキュリティ研究者が実証実験
セキュリティ研究者が走行中の自動車を乗っ取ってアクセルやブレーキを無線で遠隔操作する実験を披露した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.