ノートパソコン dynabook が 
5万円台から♪Pass-the-Cookie対策に2段階認証50%減もハッキング継続中
自分の Google アカウントに第三者が不正アクセスするとどうなる…?
■ Google セキュリティ診断で Google 乗っ取り対策
最低限の Google アカウント乗っ取り対策
Google セキュリティ診断
→ https://myaccount.google.com/intro/security-checkup?hl=ja
→ https://myaccount.google.com/intro/security-checkup?hl=ja
2 段階認証の対策で Google 乗っ取り被害 50% 減少
少しでも不正アクセス被害を減らそうと Google が取り組むセキュリティ対策の 1 つが 2 段階認証 のシステムです。
携帯電話に宛てて SMS (ショートメール) を送信Google アカウントを保有する世界中のユーザーさんに推し進めていた 2 段階認証 の効果がどれほどあったのか―― Google が分析記事を公開しているので日本語訳で紹介します。 
Making you safer with 2SV - Google Safety & Security
https://blog.google/technology/safety-security/reducing-account-hijacking/
今日のサイバー犯罪者は、インターネット上で誰をターゲットにするか区別しません。政治家や著名人から一般市民まで、誰もが個人情報を盗まれる危険にさらされています。そのため、Google はセキュリティを製品戦略の基本としています。Google は、セキュリティホールを解消するだけではなく、Google のサービスに依存する人たちのために、あらゆる脅威を排除するよう取り組んでいます。Google Pay でコーヒー代を支払う、たくさんの生徒が参加するオンライン授業で指導する、今日だけでも世界中の何十億人もの人々が Google の製品を使って大小様々なことを行っており、ユーザーの個人情報を安全に保護することは Google の責任です。Gmail は銀行、ソーシャル メディア、ショッピングなど、Google 以外のアカウントにアクセスする鍵になっていることを私たちは知っています。そのため、Gmail のセキュリティは、オンラインでのお客様の安全を守る活動の基本です。すべての製品を最初から安全にすることで、マルウェア (コンピュータウイルス)、フィッシング詐欺、スパムメール、サイバー攻撃をブロックして、世界中の誰よりも多くのユーザーの安全を守っています。昨年は 2 段階認証 (2SV、2-Step Verification) の自動登録を開始して、パスワードの脅威をなくす取り組みを加速させました。これは、サイバー犯罪者がアカウントに侵入を試みる際、パスワード以外の第 2 の認証方法を要求することで、ユーザーにさらなる保護を提供します。昨年の取り組み以来、1 億 5,000 万人以上のユーザーが 2 段階認証を自動的に有効にすることに成功し、200 万人以上の YouTube クリエイターにも 2 段階認証を義務付けました。この取り組みの結果、これらのユーザーで アカウントの侵害が 50% 減少 しました。
この減少は、第 2 の認証方法を持つことがデータや個人情報の保護にいかに有効かを物語っています。私たちはこの最初の結果を誇りに思い、ユーザーやコミュニティから寄せられた反応に満足していますが、ユーザーの安全性をさらに高めるため、舞台裏で行っている他の継続的な取り組みに期待します。
(~ 中略 ~)今日も安全を守る
最終的に、すべてのユーザーが各端末とアカウントで最高のセキュリティ保護を標準で受けられるようにしたいと考えています。私たちは、進化するさまざまな脅威からユーザーを自動的に保護しますが、さらに安全性を高めるため、いくつかのちょっとした作業をユーザーに推奨します。● Google アカウントのセキュリティを即座に強化する個別かつ実用的な推奨事項を提供し、順を追って手早く解説する セキュリティ診断 を利用してください。電話番号や予備のEメールをアカウントに追加するだけで、あなたの アカウントを 復元 する準備 ができます。これで、パスワードを忘れた時に本人確認ができるだけではなく、悪人があなたのアカウントにアクセスすることを困難にさせます。● 2 段階認証を有効にしておく と、万が一にパスワードが流出した場合に大きな違いが生まれます。私たちの言葉を信じるだけではなく、民間企業や公的機関の多くが 2 段階認証の支持を表明しています。米国ではバイデン政権が多要素認証 (MFA、Multi-Factor Authentication) に強い姿勢で臨み、データ保護のため政府機関に多要素認証の導入を義務付ける大統領令に署名しています。世界中の政府が同じアプローチをとっていることを私たちは目にしています。
2 段階認証 を有効にしていたユーザーさんは、Google アカウントに不正アクセスされて乗っ取られる被害を 50% 減少させることに成功したそうです。 
2 段階認証を突破される原因はウイルス感染で Cookie 盗難
それでも、Windows パソコンがマルウェアの RedLine Stealer ウイルスなど感染してしまうと最悪の悲劇が…!!!
【Google アカウントにログインする流れ】
ユーザー名 (メールアドレス) とパスワードを入力する
↓電話番号宛ての SMS で暗証番号が送信される 〔2 段階認証〕↓本人確認が無事に済んで Google アカウントにアクセスできる
(使用しているブラウザに認証済みの Cookie が保存される)
Windows パソコンに感染したコンピュータウイルスが、Google アカウントにログイン済みの Cookie を盗むことで Google の 2 段階認証を突破されて不正アクセスされてしまう被害 が起こっています。 
- Google Chrome
- Microsoft Edge
- Mozilla Firefox
2 段階認証を突破が実現される不正アクセス攻撃の方法は次の名称で警告されています。
【Cookie 盗難でウェブサイトの不正アクセス被害】
Pass-the-Cookie (パス・ザ・クッキー)
Cookie Theft (クッキー・セフト)
Session Hijacking (セッション・ハイジャック)
Cookie の窃取: 新たな侵入経路 (ソフォス)
https://news.sophos.com/ja-jp/2022/08/18/
認証情報を窃取するマルウェアは、さまざまなサイバー犯罪者や攻撃者が使用するツールキットに不可欠です。
最も狙われやすい認証情報はユーザーのアカウント名とパスワードですが、Web ベースのサービスを保護するための多要素認証 MFA の導入が進んでいるため、ユーザー名とパスワードを窃取する攻撃の有効性は低下しています。
その代わりに、攻撃者が認証情報に関連する Cookie を盗み出し、アクティブセッションや最近の Web セッションを複製することで、MFA を迂回する例が増加しています。
たとえば、最新の Emotet ボットネットは、保存されたログイン情報や (時として) クレジットカードの情報など、ブラウザが保存している Cookie やその他の認証情報を狙う多くのマルウェアのうちの 1 つです。
Google の Chrome ブラウザは、Emotet が狙う多要素認証 Cookie とクレジットカード情報の保存に同じ暗号化方式を使用しています。Cookie を狙う攻撃者はさまざまです。
サイバー犯罪の最下層では、闇フォーラムで入手した Raccoon Stealer や RedLine Stealer といった情報窃取マルウェアをエントリーレベルの攻撃者が使用し、Cookie やその他の認証情報を一括収集して犯罪市場で販売しているようです。
「Pass-the-Cookie」 攻撃の対策は?
【1】 ブラウザに Cookie を保存しないよう設定を変更する
- Cookie 盗難被害を低減する有効なセキュリティ対策
- Google のウェブサービスがほぼ利用不能に陥ってしまい、Google に依存する多くのユーザーが困る
(Google 以外にもログインして利用するタイプのウェブサービスが全滅)
【2】 とにかく Google アカウントをログイアウトするよう徹底する
- Cookie 盗難被害を低減する有効なセキュリティ対策
- Google アカウントからログアウトして再ログインするするたびに認証作業を行う必要性が出てくる
- めんどくさいのでログインしたまま放置するユーザーさんが圧倒的に多い現実
【3】 Windows パソコンでコンピュータウイルスに感染しないよう対策を行う
- 落とし所として Cookie 盗難被害を低減する有効なセキュリティ対策
- 先手を行くサイバー犯罪者の活発な攻撃活動に弄ばれる
コンピュータウイルス (マルウェア) を検出するセキュリティソフトの対応が後手に回っている現実
コメント