By Thi Nguyen-Huu

最近、SolarWindsの攻撃が大きなニュースになっています。
簡単に説明すると、サイバー犯罪者が、世界中の何千もの組織のネットワークで利用されているSolarWinds Orionネットワークソフトウェアを不正に更新し、無数のサーバに対する特権アクセスを取得する恐れがある問題です。
このブログでは、SolarWinds攻撃の一環として実行された、Cookieを使用した認証に対する攻撃について説明します。

一部の企業や政府機関において、「SolarWinds攻撃」は次のように実行された可能性があります。

1. 攻撃者はSolarWindsのアップデートにマルウェアを埋め込むことに成功し、それによってマルウェアが組織のサーバで実行される。
2. マルウェアは管理者権限の取得に成功し、「認証サーバ」のいくつかの鍵が盗まれる。
3. この鍵を悪用して、攻撃者はCookieを作成し、エンドポイントデバイスに保存。その後、認証サーバは、攻撃されたデバイスを過去に認証済のデバイスと見なしてしまい、MFAであってもなくても、明示的な「クライアント認証」を実行せずに、そのエンドポイントデバイスを受け入れる。
4. これで、攻撃者は、認証されたユーザと同じように、あらゆる操作を実行することが可能になる。

SolarWinds攻撃の起点となったのは、マルウェアを埋め込んだ事でしたが、認証を回避する高度な攻撃が多く含まれています。
これは、セキュリティ業界による対策やMFAの強化によって、フィッシングなどの手法が効果的ではなくなっており、攻撃者は認証を回避するために、高度な攻撃を使用せざるを得なくなっていることを示しているのかもしれません。
MFA(特にFIDOや他の非対称鍵を使用する認証)によって、IDを盗むことがより難しくなっていることは良いニュースですが、攻撃者はパスワード、バイオメトリクス、SMS、OTP、さらには関連するCookieやフェデレーション認証などの最も脆弱な部分を攻撃するようになっています。

https://arstechnica.com/information-technology/2020/12/solarwinds-hackers-have-a-clever-way-to-bypass-multi-factor-authentication/ の記事で強調されているように、今回の問題はMFAプロバイダの脆弱性ではありません。
MFAがバイパスされており、MFA自体に脆弱性があるわけではありません。

ただ、これは認証サーバの欠点であることに変わりはなく、最終的にはMFAプロバイダの問題と考えることができます。

しかし、Cookieの使用が許容されている業界のコンセンサスが問われているのかもしれません。
ユーザは、電子メールシステムに対して認証しなくても、毎日メールを読むことができるようになっています。
つまり、MFAプロバイダの欠点ではなく、この問題に対する適切な解決策がこの業界で欠如しているのです。

このCookieベースの「認証」機能よりも優れた方法はないのでしょうか?

SolarWindsのMFAバイパス攻撃を防ぐことは可能か?ウィンマジックは、そう信じています。

この防止策については、次回のブログ記事でご紹介します。