体験で知るサイバーセキュリティー

恐怖!掲示板へのアクセスでパソコン乗っ取り(前編) クロスサイトスクリプティングなどを組み合わせた巧妙な手口を体験

記事保存

日経BizGate会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。

 攻撃者はこの攻撃用スクリプトに「(攻撃者が用意した)www.attacker.example.comというウエブサイトへクッキー情報を送信せよ」という命令を書いておく。以降、パソコンが掲示板サイトにアクセスして攻撃者のメッセージを表示するたびに、攻撃用スクリプトがブラウザーに読み込まれ、スクリプトを実行したブラウザーがクッキー情報をwww.attacker.example.comというウエブサイトへ送信する。

 www.attacker.example.comというウエブサイトでは送られたクッキー情報をアクセスログというファイルに記録している。ジョンが掲示版サイトへアクセスしてこの攻撃用スクリプトを実行すれば、ジョンのクッキー情報もそのアクセスログに入る。

 「次に、アタッカーは、ジョンというユーザーが持つクッキー情報を悪用することでジョンになりすまして、本当の攻撃に使うスクリプトをメッセージとともに書き込みます」(北原氏)

 ネット上には、クッキー情報だけで会員制ウエブサイトへログインするためのソフトウエアがいくつか配布されている。多くは個人が自分で使うことを想定しているが、攻撃者はそれを悪用する。今回はファイアフォックス(Firefox)というブラウザーのプラグイン「クッキーマネジャー(Cookie Manager)」を使った。これに不正に取得したクッキー情報を設定して、先ほどの掲示板に再度アクセスしてみると……、攻撃者が「ジョン」としてログインしている状態になった(“Welcome: ”の右側が今利用しているユーザー名)。

 XSSの脆弱性があったばかりに、あっという間に別のユーザーになりすますことができた。あっけないようにも見えるが、これは大変、怖い攻撃である。(後編へ続く

(ライター 森川滋之、監修・支援 ラック)

お詫びと訂正:クッキー情報について一部不適切な記述がありました。お詫びして訂正いたします。

キーワード:経営・企画、経営層、管理職、経営、技術、プレーヤー、ICT

閲覧履歴

    クリッピングした記事

    会員登録後、気になる記事をクリッピングできます。