Googleのマルチプルサインオンの脆弱性を悪用し、パスワードリセット後もアクセスを維持するマルウェアが登場

CloudSEKによると、この重大な脆弱性はセッションの永続性とクッキー生成を悪用するもので、脅威行為者は有効なセッションへのアクセスを不正な方法で維持することができる。

2023年10月20日、PRISMAという名の脅威行為者が、自身のテレグラム・チャンネルでこのテクニックを初めて公開した。それ以来、この手法はさまざまな悪意のあるソフトウェアLumma、Rhadamanthys、Stealc、Meduza、RisePro、WhiteSnakeなどのAs-a-Service（MaaS）ステラーファミリー。

MultiLogin認証エンドポイントは主に、ユーザーがChrome経由で自分のアカウント（つまりプロファイル）にログインする際に、サービス間でGoogleアカウントを同期するために使用されます。

セキュリティ研究者のPavan Karthick M氏は、「Lumma Stealerのコードをリバースエンジニアリングすると、この手法が "ChromeのWebData token_serviceテーブルをターゲットにして、ログインしたChromeプロファイルのトークンとアカウントIDを抽出していることがわかる。このテーブルには、サービス（GAIA ID）と暗号トークンという2つの重要なカラムが含まれている。

このトークンとGAIA IDのペアは、MultiLoginエンドポイントと組み合わされ、Google認証クッキーを再生成します。

以下の3つの方法で、さまざまなトークンクッキー生成シナリオをテストする。

ユーザーがブラウザを使ってログインする場合、この場合、トークンは複数回使用できる。
ユーザーがパスワードを変更してもグーグルにログインし続ける場合、この場合、トークンは一度しか使用できません。トークンは、ユーザーがログインし続けるためにすでに一度使用されているからです。
ユーザーがブラウザからログアウトした場合、トークンはキャンセルされ、ブラウザのローカルストレージから削除されます。
グーグルはインタビューでこの攻撃手法の存在を認めたが、ユーザーは影響を受けたブラウザからログアウトすることで、盗まれたセッションを元に戻すことができると指摘した。

Googleは、マルウェアファミリーがセッショントークンを盗み出すという最近の報告に注目しています。マルウェアがCookieやトークンを盗み出す攻撃は新しいものではありません。Googleでは、このような手口から保護し、マルウェアの被害に遭ったユーザーの安全を確保するために、定期的に防御策をアップグレードしています。今回のケースでは、Googleは検出されたすべての侵害されたアカウントの安全を確保するための措置を講じました。

しかし、この報告書には、ユーザーは盗まれたトークンやクッキーを取り消すことができないという誤解があることに注意することが重要です。これは誤りで、盗まれたセッションは、影響を受けたブラウザからログアウトするか、ユーザーのデバイスページを通じてリモートで無効にすることができます。私たちは状況を監視し続け、必要に応じて最新情報を提供します。

フィッシングやマルウェアのダウンロードを防ぐため、Chromeの拡張セーフブラウジング機能をオンにすることをお勧めします。

安全に関する推奨事項

攻撃者がパスワード・リセット・プロセスを使ってアクセスを回復するのを防ぐため、パスワードを変更する。
アカウントのアクティビティを監視し、見慣れないIPや場所からの不審なログインに注意する。
この事件は、従来のアカウント・セキュリティ手法の潜在的な課題と、サイバー犯罪者が一般的に使用する情報窃盗の脅威に対処するための、より高度なセキュリティ・ソリューションの必要性を浮き彫りにした。

今回のセキュリティ・インシデントを通じて複雑な脆弱性が明らかになり、アカウント・セキュリティに対する従来のアプローチに挑戦する可能性が出てきた。グーグルの対策は価値あるものだが、今回の事態は、今日のサイバー犯罪者の間に蔓延している情報窃取プログラムなど、進化するサイバー脅威に対処するためのより高度なセキュリティ・ソリューションの必要性を浮き彫りにしている。