ニュース
FIDO2認証をバイパスされる脆弱性 セキュリティ研究者が複数のユースケースを検証:セキュリティニュースアラート
Silverfortは、FIDO2認証が中間者攻撃によってバイパスされる可能性があると発表した。同社は複数の認証ツールでこの脆弱性を検証し、どうすればバイパスできるかを解説した。
セキュリティ企業のSilverfortは2024年5月6日(現地時間)、FIDO2の認証プロセスが中間者攻撃(MITM)によってバイパスされる可能性があると指摘した。
FIDO2の認証プロセスをバイパス 複数のツールでテストした結果とは?
FIDO2はパスワードに代わって物理的または組み込みのキーを使用して認証を実施する技術だ。Fast Identity Online(FIDO)アライアンスによって策定されており、主に中間者攻撃やフィッシング、セッションハイジャック攻撃などからユーザーを保護する安全な方法として知られている。
FIDO2の認証フローは、WebAuthn API仕様とClient to Authenticator(CTAP)プロトコルで構成されている。プロセス全体はWebブラウザが管理するため、デバイスの登録と認証の2つのステップで利用できる。通信には公開鍵暗号を使うため、フィッシングや中間者攻撃、セッションハイジャック攻撃のリスクを排除できるとされている。
しかしSilverfortによると、FIDO2による保護をバイパスする中間者攻撃が可能だ。同社は「Yubico」「Entra ID SSO」「PingFederate」といったFIDO2の認証を利用するセキュリティツールのユースケースを公開した。
- Yubico: YubicoはFIDOのセキュリティ機能やキーのデモンストレーションおよびテストを目的としたツールだ。認証に成功すると「session」という名称でCookieが生成される。このCookieは有効期限が切れるまで任意のデバイスで使用される。攻撃者はこのCookieを取得することで認証ステップをバイパスできる
- Entra ID SSO: Entra ID SSOはさまざまなシングルサインオン(SSO)プロトコルと認証方法をサポートするセキュリティ機能を提供している。ユースケースでは、OpenID Connect(OIDC)プロトコルを介したネイティブのMicrosoftのアプリケーションや「Microsoft 365」「Microsoft Azure portal」、SAMLプロトコルを介したサードパーティーアプリケーションの例を検証している。攻撃者は認証プロセスを中継しなくても、署名付きトークンの再利用やCookieの生成によって攻撃が可能となる
- PingFederate: PingFederateはさまざまなエンタープライズアプリケーションにフェデレーションSSOを提供している。認証を実行するためにサードパーティーのアダプターを使用しており、FIDO2機能は「PingOne」と呼ばれるアダプターで利用できる。ユースケースによると、証明書を利用する開発者がOIDCトークン(またはSAMLレスポンス)を検証しない場合、中間者攻撃が成功する可能性がある
FIDO2は優れたセキュリティ機能を提供するが、実装するだけでは十分ではないことを認識する必要がある。
関連記事
- 2023年に最も狙われたリモートデスクトップツールは?
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。 - Dropboxがサイバー攻撃で不正アクセスされる 個人情報漏えいか
Dropboxは、サイバー攻撃者が同社のシステムに侵入し、ユーザーの個人識別情報にアクセスしたと報告した。 - 検出困難なマルウェア「BirdyClient」とは? MS Graph APIも悪用することが判明
GBHackers on Securityは新たなマルウェア「BirdyClient」がMicrosoftのGraph APIを悪用していると報告した。同マルウェアはウクライナの組織を標的にしており、検出が困難とされている。 - 経産省、SBOM導入手引のバージョン2.0に関する意見公募を開始
経産省は「ソフトウェア管理に向けたSBOM導入に関する手引ver2.0(案)」の意見公募を発表した。新ガイドラインはver1.0での課題解決が取り組まれている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.