<<Return to List

Nikkei Online, 2021年8月22日 1:00

ネットの閲覧履歴を記録する「クッキー」がサイバー攻撃に悪用され始めた。社員になりすまして企業のシステムに不正アクセスし、機密データを抜き出した事例も確認された。盗み取られたクッキー情報90万件超を売る闇サイトもあり、今後も被害が広がる恐れがある。企業などは、ログイン時に複数の端末や生体認証を使う「2要素認証」の導入など対策を急ぐ必要がある。

あるスウェーデンのパソコンに入っている400件超のクッキー情報は18ドル（約2000円）、ベルギーのパソコンにある600件超の情報は3ドル――。イスラエルのセキュリティー企業KELAによると、匿名性の高い闇サイト群「ダークウェブ」では様々なクッキー情報が売られている。国やパソコンユーザーの属性、クッキーの種類によって価格は様々だ。大手闇サイト「Russian Market」にはパソコンなどの端末約89万6千台分が載っているという。

クッキーはウェブサイトの閲覧者を識別する仕組みだ。例えば閲覧者がサイトを一度閉じた後で再び開いた時に、閲覧ソフト（ブラウザー）に保存されたクッキー情報から同じユーザーのアクセスだと確認できた場合は、ログイン状態を維持したままにするといった使い方がある。閲覧者はパスワードなどを入力する手間が省ける。

一方で、「クッキーはハッカーがセキュリティー対策を回避するのを手助けしてしまうリスクもある」とKELAのシャロン・ビトン氏は説明する。

ウェブメールなどのサービス提供事業者は、利用者がサービスにログインする場合にパスワードのほか、普段と同じ端末からアクセスしているかをチェックすることが多い。他人が別端末から不正にログインしようとした場合、普段のパソコンに「通常と異なる端末からアクセスがあった」と警告を送ったりする。だが、不正入手したクッキーを使えば「普段の端末」になりすませる。

クッキー情報の窃取は、パソコンなどにマルウエア（悪意のあるプログラム）を感染させるなどして集める手口が一般的だ。闇サイトで売り出され、企業などにランサムウエア（身代金要求型ウイルス）攻撃などを手掛けるハッカーなどが、攻撃の糸口を手軽に得るために買っている。パスワードをブラウザーに保存している場合、それだけで不正にログインされてしまう。

悪用も目立ち始めた。6月にはゲーム大手の米エレクトロニック・アーツ（EA）から、人気ゲームのソースコードなど780ギガバイトのデータが漏洩。ハッカーがデータを第三者に売ると公表し、同社に金銭を求める脅迫を仕掛けた。

ハッカーはEA社員が使っていたコミュニケーションツールSlack（スラック）のクッキーを闇サイトから10ドルで購入。アカウントを乗っ取って社内ネットワークに侵入したとされる。

米国土安全保障省傘下のサイバーセキュリティー専門機関（CISA）は1月に公表したリポートで、こうした手口を「Pass-the-Cookie（パス・ザ・クッキー）攻撃」と命名して警戒を促した。被害が発覚していないものも含め、同様の攻撃が相次いでいるとみられる。

サイバー防衛を手掛けるブループラネットワークス（東京・渋谷）の鴫原祐輔セキュリティアドバイザーは、EAへの攻撃について「近年の認証方法の弱点を突いた」と話す。文書共有やチャットツールなど、クッキーで認証するクラウドサービスが普及したことで、犯罪手口として広がっているという。

2要素認証を使えば、こうしたなりすましによる被害のリスクは大きく減らせる。ただ、フィッシング対策協議会（東京・中央）が2020年、ネット利用者約600人に通信サービスやSNS（交流サイト）の認証方法を尋ねたところ、

・ 2要素認証を使わず「ID、パスワードのみ」とする回答はどちらも半数近かった。
・ 一方、ブラウザーにウェブサービスのパスワードを保存しているとの回答は78.0%に上っており、

クッキー漏洩のリスクは高い。

利便性に安易に依存せず、ウェブ上で扱う情報の重要性に応じ、自社の認証の設定やルールを見直すべきだ。

（サイバーセキュリティーエディター　岩沢明信）

<< Return to PageTop