ITmedia NEWS > �Ȋw�E�e�N�m���W�[ >
ZLeBEzbggsbNX

�g�܂��쐬���Ă��Ȃ����[�U�[�A�J�E���g�h����肵�ď�����U���@��Microsoft�Ȃǂ��w�E�FInnovative Tech

» 2022�N07��07�� 07��00�� ���J
[�R���T�B�CITmedia]

Innovative Tech�F

���̃R�[�i�[�ł́A�e�N�m���W�[�̍ŐV�������Љ��Web���f�B�A�uSeamless�v����ɂ���R���T�B�������M�B�V�K���̍����Ȋw�_�����R�������s�b�N�A�b�v���A�������B

�@�Z�L�����e�B������Avinash Sudhodanan����ƕ�Microsoft Security Response Center�̌����҂����\�����uPre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web�v�́A�܂��쐬���Ă��Ȃ�Web�T�[�r�X�̃A�J�E���g��������U�����e�X�g���Ǝ㐫���������_�����B

�@��̓I��5��ނ̍U�����Ă�75��Web�T�C�g�Ŏ������Ƃ���A35�̃T�C�g�ŏ�����ɐ��������Ƃ����B���̒��ɂ́AZoom��Instagram�ADropbox�ALinkedIn�Ȃǂ��܂܂ꂽ�B

�ԐF���U���҂ՐF����Q�ҁB��Q�҂��V�K�A�J�E���g���J�݂���O�ɁA���łɍU���҂��g���b�v���d����ł���

�@�uGoogle�Ń��O�C���v�uTwitter�Ń��O�C���v�uFacebook�Ń��O�C���v�Ȃǂ�Web�T�[�r�X��A�v���P�[�V�����̔F�؎��Ɏg�����o��������l���������낤�B���̂悤�ȔF�ؕ��@���u�V���O���T�C���I���v�iSSO�j�ƌĂсA1�x���[�U�[�F�؂��s���ƃ��O�C�����ɂЂ��Â��V�X�e����Web�T�[�r�X�A�A�v���P�[�V������lj��F�؂Ȃ��ŗ��p�ł���B���[�U�[�̕��S���y�����̌������コ���邱�Ƃ��瑽���̃T�[�r�X�œ�������Ă���B

�@����͂���SSO���t��Ɏ�����U�����s���B�O������Ƃ��āA�U���҂���Q�҂̃��[���A�h���X���擾���Ă��邱�ƁA�_���T�[�r�X�����[���A�h���X�̊m�F�����Ȃ��ŃA�J�E���g�쐬�ł��邱�Ƃ�K�v�Ƃ���B

�@��҂̃��[���A�h���X���m�F���Ȃ��Ƃ����̂́A���[�U�[�̌������コ���邽�߂ɃT�[�r�X�������[���A�h���X���m�F���Ȃ��i�������͌�񂵂ɂ���j���Ƃ��w���B�Ⴆ�΁A���[���A�h���X�ƃp�X���[�h����͂��ĐV�K�A�J�E���g���쐬����P�[�X�ŁA�{�l�ȊO�̃A�h���X�ł��擾�ł���ꍇ��A�F�؂̂��߂ɂ��̃A�h���X�Ɋm�F���[���𑗂邪���[�U�[���m�F�{�^���������Ȃ��Ă��T�[�r�X���g����ꍇ������ɂ�����B

5��ނ̍U�����@

�@��L�O���������ɂ���5��ނ̍U�����@���������B

Classic-Federated Merge Attack

�@�U���҂���Q�҂̃��[���A�h���X���g���A���肵�ăT�[�r�X�̃A�J�E���g���쐬���Ă����B��Q�҂��uGoogle�Ń��O�C���v�Ȃǂł��̃T�[�r�X�Ƀ��O�C�������ꍇ�ɃA�h���X����������邽�ߏ����肪��������B�U���҂��ݒ肵���p�X���[�h�Ń��O�C���ł���B

Unexpired Session Identifier Attack

�@���������Q�҂̃��[���A�h���X�Ő��肵�ăA�J�E���g���쐬���Ă����A����I�ɖK�₵���O�C����Ԃ��ێ�����B���̏�ԂŔ�Q�҂������A�h���X�ŐV�K�o�^���悤�Ƃ���Ɓu���̃��[���A�h���X�͊��ɓo�^����Ă��܂��v�ƕ\������邽�߁A���O�C����ʂ���p�X���[�h�̃��Z�b�g��������B���Z�b�g���Ă��U���҂����O�C�����Ă����Z�b�V�����͐؂�Ȃ����߁A������ɐ�������B

Trojan Identifier Attack

�@����������肵�Ĕ�Q�҂̃��[���A�h���X�ŃA�J�E���g���쐬���Ă����A���̃A�J�E���g�ƍU���҂�IdP�iIdentify Provider�j�A�J�E���g���Ђ��Â���B���̏�ԂŔ�Q�҂������A�h���X�ŐV�K�o�^���悤�Ƃ���Ɓu���̃��[���A�h���X�͊��ɓo�^����Ă��܂��B�v�ƕ\������邽�߁A���O�C����ʂ���p�X���[�h�̃��Z�b�g��������B �U���҂�IdP�A�J�E���g�ł����O�C���ł��邽�߁A������ɐ�������B

Unexpired Email Change Attack

�@���肵�Ĕ�Q�҂̃��[���A�h���X�ŃA�J�E���g���쐬������ɁA�U���҂̃��[���A�h���X�ɕύX����悤�T�[�r�X�ɐ\������B���̏�ԂŔ�Q�҂������A�h���X�ŐV�K�o�^���悤�Ƃ���Ɓu���̃��[���A�h���X�͊��ɓo�^����Ă��܂��v�ƕ\������邽�߁A���O�C����ʂ���p�X���[�h�̃��Z�b�g��������B

�@�U���҂ɂ͐�قǂ̃��[���A�h���X�ύX�̊m�F���[�����͂��Ă��邽�߁A���̕ύX���m�肷��B����ōU���҂̃��[���A�h���X�Ń��O�C���ł���悤�ɂȂ邽�ߏ�����ɐ�������B

Non-Verifying IdP Attack

�@���[���A�h���X�̏��L�҂��m�F���Ȃ�IdP�i�N���E�h�T�[�r�X�ȂǂɃA�N�Z�X���郆�[�U�[�̔F�؏���ۑ��A�Ǘ�������́j�Ŕ�Q�҂̃��[���A�h���X���g���ăA�J�E���g���쐬���Ă����B��Q�҂����[���A�h���X�ŃA�J�E���g��V�K�o�^����ƁAIdP�̃A�h���X����������邽�ߏ�����ɐ�������B

�@����5��ނ̍U����L����75�T�C�g�Ŏ������Ƃ���A35�T�C�g��1��ވȏ�̍U����h�����Ƃ��ł��Ȃ������Ƃ����B�h���Ȃ������T�C�g�ɂ́AZoom��Instagram�ADropbox�ALinkedIn�Ȃǂ��܂܂ꂽ�B

Source and Image Credits: Sudhodanan, Avinash, and Andrew Paverd. �gPre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web.�h



Copyright © ITmedia, Inc. All Rights Reserved.

'; e_dlv.innerHTML = html; adRequest({position:dlv_pos,dom:true}); }else if(ad_type === 'gam'){ var html = '
'; e_dlv.innerHTML = html; refreshGam('InArtSpecialLink'); }else if(ad_type === 'logly'){ var html = '
'; e_dlv.innerHTML = html; loglySet(g_id); }else if(ad_type === 'google'){ var html = '
'; e_dlv.innerHTML = html; googletag.cmd.push(function(){ var slot8 = googletag.defineSlot('/43042345/nlab_artinsert_RT',[[336,280],[300,250],'fluid'],'div-gpt-ad-1551176482959-0').addService(googletag.pubads()); googletag.pubads().enableSingleRequest(); googletag.enableServices(); googletag.display('div-gpt-ad-1551176482959-0'); googletag.pubads().refresh([slot8]); }); } }; var insert_ok = function(_target,_str){ var clearfix = d.createElement('div'); clearfix.className = 'colBoxClear'; if(ad_float_fix){ e_body.insertBefore(e_dlv,_target); e_body.insertBefore(clearfix,_target.nextElementSibling); }else{ e_body.insertBefore(e_dlv,_target); } set_dlv(); }; var insert_ng = function(_str){ e_dlv.style.display = 'none'; }; var main = function(){ var e_nodes = e_body.childNodes; // BODY �����q�v�f var e_tags = []; // BODY �����^�O var p_num = []; // BODY ���� P �^�O�ʒu var p_target_num; // �g�}����ʒu var o_float = {}; // ��荞�ݗv�f var o_this = {}; // �A�N�e�B�u�^�O var o_next = {}; // �A�N�e�B�u�^�O�̎��̃^�O var flag_insert = 0; // �}���t���O // ��荞�ݗv�f�`�F�b�N var check_float = function(_e){ var e = 0; if(_e.id.match(/^col\d{3}(l|r)$/)){ e = _e; } return e; }; // �v�f�� Y ���W�ƍ����̍��v�l var get_element_y = function(_e){ var ey = 0; var eh = _e.offsetHeight; while(_e){ ey += _e.offsetTop; _e = _e.offsetParent; } return ey + eh; }; var check_ptag = function(_e){ var e = 0; if(_e.tagName && _e.tagName === 'P'){ e = _e; } return e; }; var try_insert = function(){ p_target_num = Math.floor(p_num.length / 2) - 1; if(p_target_num >= _maxrange) p_target_num = _maxrange; if(dis_con) p_target_num = 0; for(var i = p_num[p_target_num]; i < e_tags.length; i++){ o_this.e = check_ptag(e_tags[i]); if(o_this.e){ o_next.e = check_ptag(e_tags[i + 1]); if(o_next.e){ if(!o_float.e || check_float(e_tags[i - 1])){ o_float.e = check_float(e_tags[i - 1]); o_float.n = i - 1; } if(o_float.e && o_float.n < i + 1){ o_float.y = get_element_y(o_float.e); o_this.y = get_element_y(o_this.e); set_line(o_float.y,'red'); set_line(o_this.y,'blue'); if(o_float.y < o_this.y){ flag_insert = 1; insert_ok(o_next.e,_threshold + ' �p���ȏ��荞�݂���'); break; } }else{ flag_insert = 1; insert_ok(o_next.e,_threshold + ' �p���ȏ��荞�݂Ȃ�'); break; } } }else{ o_float = {}; } } if(!flag_insert){ insert_ng('�}���ʒu�Ȃ�'); } }; // �S�q�v�f����^�O�̂ݔz��ɓ���� for(var i = 0; i < e_nodes.length; i++){ if(e_nodes[i].tagName){ e_tags.push(e_nodes[i]); } } // �S�^�O���� P �^�O�ʒu��z��ɓ���� for(var i = 0; i < e_tags.length; i++){ if(e_tags[i].tagName === 'P') p_num.push(i); // �ŏ��̉�荞�ݗv�f���i�[ if(!o_float.e){ o_float.e = check_float(e_tags[i]); o_float.y = get_element_y(o_float.e); o_float.n = i; } } if(p_num.length >= _threshold){ try_insert(); }else{ insert_ng('P �^�O ' + _threshold + ' �ȉ�'); } }; if(e_body){ main(); }else{ insert_ng('�L���{���Ȃ�'); } })(document,4,5);

SaaS�ŐV��� by IT�Z���N�g

VtgǗVXeDXʂƕ֗@\Aߐi9Iiłj

�V�t�g�Ǘ��V�X�e����DX���ʂƕ֗��@�\�A�������ߐ��i9�I�i�����ł���j

ŎgڋqǗVXeiCRMj10I L\tgƂ̈ႢAȋ@\ƑIѕ

�����Ŏg����ڋq�Ǘ��V�X�e���iCRM�j��������10�I �L���\�t�g�Ƃ̈Ⴂ�A��ȋ@�\�ƑI�ѕ�

5000�~���̃M�t�g�J�[�h�v���[���g�I IT�Z���N�gSaaS/IT�����x���L�����y�[�����{��