機密情報の宝庫｢社内チャット｣の漏洩を防ぐには？ 二段階認証をかいくぐるサイバー攻撃の手口 《私物の業務利用はリスクあり》カギは端末管理

以下、“壁を避ける手法”の例として、端末に保存された「認証が完了していることを示す情報」を盗み取る攻撃の具体例を紹介する。

便利な仕組みは、「誰にとっても」便利

認証が完了していることを示す情報にはさまざまなものがある。Cookieやセッショントークンがその代表例で、これらは、認証が済んだ利用者に対してサービス側から渡される一時的な“通行証”のようなものだ（下図中の①）。

利用者は一度認証を終えると、次回からはこの“通行証”を見せることで、再度の認証を省略することができる（下図中の②）。もしこのような仕組みがなければ、利用者はチャットを開くたびに認証を求められてしまう。そのような不便や不合理を避ける仕組みとしてCookieやセッショントークンが用意されている。

認証のシステムと攻撃者の侵入手口（画像：筆者提供）

このような仕組みは、サービスの実用性を支えるうえで不可欠である。しかし、一方で攻撃者にとっても都合よく働く危惧も併せ持っている。

“通行証”を盗み取り、それを使うことができれば、認証をせずとも「利用者」として振る舞えてしまうのだ（上図中の③）。