MFAをすり抜ける「セッションハイジャック」、Cookieを盗んでなりすます高度な手口

背景

多要素認証（MFA）の普及により、IDとパスワードだけでは不正ログインを防げるケースが増えました。しかし、攻撃者はMFAを突破するために、認証そのものを回避する「セッションハイジャック（Pass-the-Cookie）」攻撃へとシフトしています。Webサービスやクラウドアプリにログインすると、ブラウザには「セッションCookie」と呼ばれる一時的な証明書が保存されます。これにより、ユーザーは毎回パスワードを入力せずにサービスを利用し続けることができます。攻撃者はこのCookieそのものを盗み出し、自分のブラウザにインポートすることで、IDやパスワード、MFAを入力することなく、「認証済みユーザー」として即座にサービスにアクセスします。MFAを導入している企業でも被害が発生しており、認証セキュリティの新たな盲点となっています。

実態

セッションCookieを盗み出す主な手段は、「インフォスティーラー（情報窃取マルウェア）」です。フィッシングメールやマルバタイジング経由で従業員のPCに侵入したマルウェアは、ChromeやEdgeなどのブラウザに保存されているCookieデータベースを丸ごとコピーし、攻撃者のC2サーバーへ送信します。また、中間者攻撃（AiTM：Adversary-in-the-Middle）フィッシングサイトを利用し、ユーザーが正規サイトにログインした瞬間に発行されるCookieをリアルタイムで傍受する手口もあります。攻撃者は入手したCookieを使い、VPN、Salesforce、Slack、Microsoft 365などの企業用クラウドサービスにアクセスします。システム側からは「正規の認証済みセッションからのアクセス」として認識されるため、アラートが上がりにくく、攻撃者は誰にも気づかれずにメールの盗み見やデータの持ち出し、設定変更を行うことができます。Cookieには有効期限がありますが、攻撃者は盗取後数分以内にアクセスを開始するため、短時間の有効期限でも被害を防ぐことは困難です。

影響と対策

セッションハイジャックによる被害は、MFAを突破されることによるアカウントの完全な乗っ取りです。対策としては、エンドポイントセキュリティの強化が第一です。FortiEDRやCheck Point Harmony Endpointなどを導入し、インフォスティーラーの感染自体を防ぐことが最も効果的です。次に、ゼロトラスト・ネットワークアクセス（ZTNA）や条件付きアクセスの導入が重要です。これらのソリューションは、Cookieによる認証だけでなく、「アクセス元の端末が会社支給の正規端末か」「セキュリティソフトは稼働しているか」「接続元IPアドレスは通常通りか」といったデバイスポスチャー（端末の健全性）を常時検証します。未知の端末から盗まれたCookieを使ってアクセスしようとしても、デバイス認証で拒否することが可能です。また、クラウドサービス側の設定で、セッションCookieの有効期限を短く設定する、ブラウザを閉じた際にセッションを破棄する、IPアドレスが変更された場合に再認証を要求するといった運用もリスク低減に寄与します。

まとめ

「MFAを入れたから安心」という時代は終わり、認証後の「状態」を守るセキュリティが求められています。Cookieは「合鍵」であり、これを盗まれないためのエンドポイント対策と、盗まれても使わせないためのゼロトラストアクセス制御が必要です。PSIでは、インフォスティーラー対策としてのEDR製品と、セッションハイジャックを無効化するZTNAソリューションを組み合わせ、認証突破型攻撃に対する強固な防御体制の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp