ブラウザが自動入力する認証情報、XSSによって盗まれる可能性

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月のトピックは「自動入力される認証情報をXSS攻撃によって盗む攻撃ベクター」と「ランサムウェアMedusaLocker」です。それぞれについて、影響範囲、アナリストの見解、緩和のための戦略、IoCを紹介していきます。

アナリスト：

Rory Morrissey

(Intelligence Architect @Machina Record)

Articles

Article.1

ブラウザが自動入力する認証情報、クロスサイトスクリプティングによって盗まれる可能性

Article.2

MedusaLocker、ネットワークへの初期アクセスにRDPを使用

ブラウザが自動入力する認証情報、クロスサイトスクリプティングによって盗まれる可能性

ブラウザのオートフィル機能が狙われる

クロスサイトスクリプティング（XSS）の脆弱性を使い、自動入力される認証情報をブラウザから盗むという比較的認知度の低い攻撃ベクターについて、GoSecureの研究者らが詳しく解説しました。

一般に使用されるほぼすべてのブラウザでデフォルトで有効化されているこの自動入力（オートフィル）機能は、ページのボディのどこかにパスワードフィールドを追加し、ブラウザがそのフィールドへ自動入力するのを待つ、という方法によって悪用することが可能です。この悪用が成功すれば、攻撃者はフィールド内の値を呼び出し（フェッチし）、それを自らのサーバーに送ることができます。

パスワードマネージャーも、オートフィル機能が有効になっている場合はこの攻撃ベクターの影響を受ける場合があります。

情報源（外部サイト）

1, https://www.gosecure.net/blog/2022/06/29/did-you-know-your-browsers-autofill-credentials-could-be-stolen-via-cross-site-scripting-xss/?_hsmi=218326653&_hsenc=p2ANqtz-_X2bKRQ7GFdl02yt-yDeCm_PgiRs_zF2FeYdgTHRu11DeqeKJoK5auYjx4YFLtTbdgN9URs_-UdBcmKN3CeCy2sBGMvg

アナリストのコメント

影響範囲

インターネットブラウザのオートフィル機能を有効化した状態で、XSS攻撃に脆弱なWebサイトを訪問するすべての人

見解

XSSやブラウザのオートフィル機能が利用可能になってから、数年間が経過しています。つまり、この攻撃はそれと同じ期間にわたって実行可能な状態となっているということです。また、かなり知名度が低く、比較的目立ちにくい攻撃であり、攻撃者が検知されることなくパスワードを集めるのに使える可能性があります。

緩和戦略

セキュリティ管理者：

ソリューションの1つとして、グループポリシーオブジェクト（GPO）か エンドポイントマネージャーによってブラウザのパスワード保存機能を無効化することが挙げられるでしょう。これにより、ユーザーがブラウザのパスワードマネージャー機能を使って自らの認証情報を保存することはなくなります。ただし、ブラウザによっては、そして機能がまだ有効になっている場合には、過去に追加されたすべてのパスワードは引き続き自動で入力されてしまいます。

Web開発者：

第一に、優れたコンテンツセキュリティポリシー（CSP）ヘッダーは、有害スクリプトが実行されるのを防ぐ上で非常に役立つため、XSS攻撃の悪用を困難にしてくれます。とは言え、CSP設定はXSS攻撃の阻止に役立つだけであって、設定によっては既知のバイパス手法が多数存在するということを覚えておきましょう。第二に、ページに反映されるデータを確実にHTMLエンコードかバリデーション、またはサニタイジングすることです。

ユーザー：

1つ目の、そして最善のソリューションは、有名かつテスト済みで、デフォルトではオートフィル機能が有効化されていない真正のパスワードマネージャーを使うことです。ご使用のパスワードマネージャーが認証情報を自動で入力していないことを確認し、XSS攻撃によって操作なしで自動的にフェッチされることがないようにしましょう。2つ目のソリューションは、デフォルトでは自動入力しないブラウザか、保存されたパスワードの自動入力を無効化することが可能なブラウザを使うことです。

MedusaLocker、ネットワークへの初期アクセスにRDPを使用

米政府機関が注意喚起

米国の政府機関は、2022年5月頃に確認されたランサムウェア・アズ・ア・サービス「MedusaLocker」について詳細を伝えるアラートを発表しました。同ランサムウェアのオペレーターは主に、標的のネットワークにアクセスするためにリモートデスクトップ・プロトコル（RDP）を使い、初期侵入ベクターとしてフィッシングメールとスパムメールキャンペーンを使用します。

攻撃者はデータを暗号化し、暗号化されたファイルが入った各フォルダにはやり取りに関する指示を残します。ランサムノート（=身代金要求メッセージ）は、1つ以上のメールアドレスを表示し、支払い用のビットコインウォレットのアドレスに被害者を誘導します。身代金額はほとんどの場合、被害者の財政状況に応じたものになっています。

支払われた身代金は、アフィリエイトと開発者で毎回必ず分け合うものとみられ、アフィリエイトは55%〜60%近くを受け取ります。

情報源（外部サイト）

1, https://www.cisa.gov/uscert/ncas/alerts/aa22-181a?_hsmi=218326653&_hsenc=p2ANqtz-_gyQRWHDKonpLEnL0TBkuMrH3E3K6FIjjj2k6fYhI7i-euu7ZMQklfuT9Yndn9p2CNwFNlME3N-q8ie9bZfXYUYp8fKg

アナリストのコメント

影響範囲

誰もがこのランサムウェアの標的となり得ます。

見解

このランサムウェアは、ランサムウェア・アズ・ア・サービス（RaaS）として運営されます。つまり、何人もの脅威アクターがこのランサムウェアを用いて、特定の標的を攻撃したり、できる限り多くの標的への無差別攻撃を試みたりできます。支払われた身代金は、ランサムウェアの開発者と攻撃者で分け合うため、悪意ある個人の予備軍は参入に先立つコストをほとんど支払わずに済みます。

緩和戦略

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁は、以下のことを推奨しています。

・秘密または私有のデータおよびサーバーを物理的に隔離・区分され安全な場所で複数保持する復旧計画を実行する。

・ネットワークセグメンテーションを実施し、オフラインのデータバックアップを保持することで、組織に対する障害を限られたものにする。

・データを定期的にバックアップし、オフラインで保存されたバックアップをパスワード保護する。重要データは、データの存在するシステム上から修正もしくは削除できないようにする。

・ウイルス対策ソフトウェアのリアルタイム検知を、すべてのホストでインストール、定期的にアップデート、有効化する。

・OS、ソフトウェア、ファームウェアのアップデートは、できるだけ早くインストールする。

・ドメインコントローラー、サーバー、ワークステーション、アクティブディレクトリを見直し、新しいまたは未知のアカウントがないかを確認する。

・管理者権限を付与されたユーザーアカウントを検査し、最小権限の原則に従いアクセスコントロールを設定する。

・使われていないポートを無効にする。

・自組織外から受信したメールにEメールバナーを追加することを検討する。

・受信メール内のハイパーリンクを無効にする。

・多要素認証（MFA）を有効にする。

・パスワードポリシーを作成・管理する際には、国立標準技術研究所（NIST）の標準を使用する。

・安全なネットワークのみを使用し、公共Wi-Fiネットワークは使わないようにする。

・安全なリモート接続を確立するため、仮想プライベートネットワーク（VPN）をインストール・使用することを検討する。

・サイバーセキュリティに関する意識向上とトレーニングを大事にする。ユーザーには、情報セキュリティの原則・技術や、新たなサイバーセキュリティ上のリスク・脆弱性全般（ランサムウェアやフィッシング詐欺など）に関するトレーニングを定期的に提供する。

上記「情報源」の記事で、​​IoC（Indicators of Compromise）が多数掲載されたリストをご覧いただけます。