米Cloudflareは、同社のセキュリティインシデント対応チーム(SIRT)がOktaのサポートシステムから盗み出された認証トークンを利用した攻撃を発見したのをきっかけに作成した、「HAR Sanitizer」をオープンソースで公開したことを10月26日(現地時間)に発表した。
Cloudflareへの攻撃は10月18日(現地時間)に発見され、ゼロトラストセキュリティ体制とハードウェアキーの使用と連携したSIRTのリアルタイム検出および迅速な行動によって、同社の顧客情報やシステムは影響を受けなかったものの、このような経験を繰り返すことを避けるべく、組織がこの種の攻撃を防止するための新たなセキュリティツールとして「HAR Sanitizer」を構築している。
HAR(HTTP Archive)ファイルは、WebブラウザとWebアプリケーションの対話を記録したJSON形式のアーカイブファイルであり、ブラウザによってWebサーバへ送信されるヘッダ、Cookie、その他のデータを含む、すべてのリクエストにおける詳細なスナップショットを提供する。特に複雑に階層化されたWebアプリケーションの場合は、トラブルシューティングのための貴重なリソースとなる。
有効なセッションCookieを含むHARファイルが誤って共有され、攻撃者の手に渡ってしまった場合、Webアプリケーションを経由したユーザーのアカウントへのアクセスが許可されてしまう。個人データや財務詳細を保存するプラットフォームにおいて、とりわけ管理権限または昇格された権限を有するユーザーのセッションCookieが盗まれた場合は、HARファイルの盗難は深刻な問題を引き起こす可能性がある。
ほかにも、セッションCookieを利用した正規のユーザーへのなりすまし(セッションハイジャック)や、攻撃者の長期にわたるアクセスによる侵害(Cookieの有効期間の設定による)が発生したり、他の攻撃への起点となったりする可能性も考えられる。
今回、公開された「HAR Sanitizer」を使用すれば、HARファイルをアップロードすることで、セッション関連のCookieやJSON Webトークン(JWT)を削除できる。同ツールは、Cloudflare Workersに構築され、すべてのサニタイズはクライアント側で行われるため、Cloudflareがセッショントークンの完全な内容を確認することはないという。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
