Last Updated on 2024-07-03 10:03 by admin
Passkey Redaction Attacksは、GitHubやMicrosoftの認証システムを悪用する攻撃手法であり、攻撃者はログイン画面からパスキーのオプションを削除し、ユーザーにより安全性の低い認証方法を選択させることで資格情報を盗む。この攻撃は、銀行、eコマース、ソーシャルメディア、ウェブサイトドメイン名管理、ソフトウェア開発プラットフォーム、クラウドアカウントなど、多岐にわたるオンラインアカウントに影響を及ぼす可能性がある。
対策として、ユーザーはセキュアなアカウント回復方法を使用し、セキュリティチームはハードウェアベースのキーの使用やフォールバックパスワードの強化、マイクロソフトのEntra IDやIntuneを用いた条件付きアクセスポリシーの設定、Identity and Access Management(IAM)ソリューションの使用によるセキュアなログインとアカウント回復フローの定義、複数のパスキーの追加の促進などを推奨している。
【ニュース解説】
GitHubやMicrosoftの認証システムを標的とした「Passkey Redaction Attacks」は、攻撃者がログイン画面からパスキーのオプションを削除し、ユーザーにより安全性の低い認証方法を選択させることで資格情報を盗む手法です。この攻撃は、銀行、eコマース、ソーシャルメディア、ウェブサイトドメイン名管理、ソフトウェア開発プラットフォーム、クラウドアカウントなど、多岐にわたるオンラインアカウントに影響を及ぼす可能性があります。
この攻撃手法の背景には、パスキー自体の問題ではなく、その実装とアカウント回復オプションの必要性があります。多くのウェブサイトは、ユーザーがパスキーに問題を抱えたり、デバイスを紛失したりした場合に備えて、よりセキュリティが低いバックアップ認証方法を提供しています。攻撃者は、ユーザーとウェブサイトの間に割り込み、ログイン画面の見た目を操作してパスキーのオプションを完全に削除することで、この弱点を利用します。
この攻撃が成功する理由は、パスキーの実装に欠陥があるわけではなく、認証の成熟度が一般的に不十分であるためです。多くのユーザーはまだパスキーに十分に慣れておらず、ページが操作されている可能性を認識できません。また、実装者も、AitMがログインビューを変更できることを認識していない可能性があります。そして、アカウント回復オプションの提供は必須であり、パスキーはハードウェアデバイスに格納されるため、デバイスが失われた場合には別のアクセス方法が必要です。残念ながら、これらのバックアップはほぼ常にAitMに弱いです。
対策として、ユーザーはセキュアなアカウント回復方法を使用することが推奨されます。セキュリティチームは、ハードウェアベースのキーの使用やフォールバックパスワードの強化、マイクロソフトのEntra IDやIntuneを用いた条件付きアクセスポリシーの設定、Identity and Access Management(IAM)ソリューションの使用によるセキュアなログインとアカウント回復フローの定義、複数のパスキーの追加の促進などを推奨しています。
この攻撃手法の発見は、オンラインセキュリティの議論に新たな視点をもたらし、認証方法の強化に向けた取り組みを促進する可能性があります。しかし、ユーザーの認証方法に対する理解を深め、セキュリティ意識を高めることが、この種の攻撃を防ぐ上で最も重要なステップであることは間違いありません。
from Passkey Redaction Attacks Subvert GitHub, Microsoft Authentication.
