The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。

  • Google password resets not enough to stop this malware • The Register

    Google password resets not enough to stop this malware • The Register

Google認証が抱えるゼロデイ脆弱性悪用の概要

このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Registerによるとこの予告以降、情報窃取マルウェアの開発者達はこの脆弱性をコードに取り込んだという。これまでに、「Lumma」「Rhadamanthys」など、合計6つのマルウェアがこの脆弱性に対応したとみられている。

セキュリティ企業のCloudSEKによると、この脆弱性は文書化されていないGoogle OAuthエンドポイントの「MultiLogin」に存在するという。脅威アクターは情報窃取マルウェアを使用してセッショントークンを窃取し、この脆弱性を悪用してアカウントに不正アクセスする。また、このセッショントークンは窃取されると、侵害に気づいてパスワードを変更してもアカウントへの不正アクセスを阻止できない。不正アクセスを防ぐためには完全にサインアウトし、セッショントークンを無効にする必要があるとされる。

Googleが推奨する脆弱性への対処法

GoogleはThe Registerからの問い合わせに対し、上記と同様の認識を示し、セッショントークンが窃取された場合はパスワードの変更に加え、サインアウトしてセッショントークンを無効にし、侵害されたデバイスへのアクセスを取り消す必要があるとコメントしている。具体的には、影響を受けたサインイン中のブラウザからサインアウトする必要がある。

この攻撃はセッショントークンを必要とするため、初期アクセスに情報窃取マルウェアの感染が必要。これらマルウェアの感染を防止するために、GoogleはChromeの「Enhanced Safe Browsing」を有効化することを推奨している。また、マルウェアの配布に使用されるフィッシング攻撃やダウンロードを抑止するために、ブラウザ保護機能の付いたアンチウイルスソフトウェアの導入も望まれている。