クッキーの偽造で大量のアカウント流出… 犯人の目的は?
(© faithie – Fotolia)
クッキーが偽造されるとどうなるか
ヤフーが3月に発表したインシデント報告は、過去に億単位のユーザー情報が漏えいしていたこともさることながら、米証券取引委員会(SEC)への報告書では、攻撃元について国家的なグループの存在を示唆しており、かなり高度な攻撃だったと主張している。
内部の秘密情報にアクセスし、ソースコードレベルでクッキーの詳細情報を盗んだうえ、偽造クッキーを生成し、3200万人ものユーザーの通信に対し、不正アクセスが行われてきたことを挙げている。
これがなぜ国家が関与するような高度な攻撃なのかを説明する前に、そもそもWebの世界における「クッキー」とはどういうものかを簡単に説明しよう。
クッキーとは、HTTP/HTTPS通信において、Webサーバーが、特定ユーザーのアクセスであることを把握するための仕組みである。
たとえば、ログインの必要があるサイトを利用する際に、アクセスするたびにIDとパスワードを入力せずに利用できるのは、クッキーによって前回のログイン状態を保持するような処理をしているためだ。ほかにも、前回アクセスしたページから再開できるようにしたり、ユーザーごとにセッション管理をしたりといったことを可能にするのがクッキーのメリットである。
クッキーの情報は、ユーザーごとにサーバーが割り当てたセッションIDをベースに構成される。あるユーザーからのアクセスにクッキー情報があれば、サーバーはそのクッキーに対応したセッション情報によって、ログイン状態を引き継ぐことができる。
内部情報からクッキーの作り方を盗むという攻撃
注意しておきたいのは、クッキーによるログイン状態の保持は、ID・パスワードによる認証を行っているというわけではない。そのユーザーのセッションIDが一致すれば前回(または以前)に認証済みのアカウントとして扱っている。
つまり、誰かのセッションIDがわかれば、そのユーザーになりすましてWebサイトにアクセスしたり、サーバーからの応答を横取りしたりすることができてしまうのだ。
しかし通常は、どのセッションIDが誰のもので、どのようにして決まるのかといった情報は、Webサイトを設計、構築した人、内部資料でしかわからない。
これまでにもクッキーを詐称したり盗んだりする事例はあった。たとえば、XSSや通信路の傍受など、なんらかの方法でセッションIDを入手する方法や、クッキーのドメイン情報に、都道府県ドメインやホスティングサービスのドメインを指定できてしまい、特定ユーザーごとのクッキーでなくなるといった脆弱性「クッキーモンスターバグ」を利用した方法など主なものだった。
これに対して、今回ヤフーが受けた3200万件ものクッキー偽造の事例は、過去のそれとは毛色が異なるものだ。攻撃者は何らかの方法で正規のクッキーを詐称するため、ヤフーのサーバーや内部システムまで侵入し、その生成情報を入手したと思われる。
そこまで社内のシステムに入り込み、ピンポイントでクッキーのセッションIDの詳細情報にアクセスできたということは、それなりの技術力を持った攻撃者、国家による支援を受けたグループが疑われるというのがヤフーの主張だ。
【次ページ】ベライゾンによる買収との関連は?