ソフォス によると、「Cookie 窃取」は、ハッカーが資格情報を回避してプライベート データベースにアクセスするために利用するサイバー犯罪の最新トレンドの 1 つです。
組織に対する一般的なセキュリティに関するアドバイスは、最も機密性の高い情報をクラウド サービスに移動するか、安全手段として多要素認証 (MFA) を使用することです。しかし、悪意のある攻撃者は、ログイン詳細に関連付けられた Cookie をスワイプし、それを複製して、通常は更新されないプログラムのアクティブな Web セッションまたは最近の Web セッションをハッキングする方法を見つけ出しました。
これらのハッカーは、ブラウザ、Web ベースのアプリケーション、Web サービス、マルウェアに感染した電子メール、ZIP ファイルなど、さまざまなオンライン ツールやサービスを悪用できます。
このスタイルのハッキングの最も狡猾な側面は、Cookie が非常に広く使用されているため、安全プロトコルが整備されている場合でも、悪意のあるユーザーがシステムにアクセスするのに役立つ可能性があることです。ソフォスは、Emotet ボットネットは、Google Chrome ブラウザの暗号化と多要素認証への親和性にもかかわらず、保存されているログイン情報や支払いカード データなど、Google Chrome ブラウザ内のデータを標的とする Cookie を盗むマルウェアの 1 つであると指摘しました。
同出版物によると、より広範な規模では、サイバー犯罪者は地下市場から認証情報など、盗んだ Cookie データを購入する可能性があるという。エレクトロニック・アーツのゲーム開発者のログイン情報がジェネシスと呼ばれるマーケットプレイスに流出し、恐喝グループ「ラプサス$」が買収したと伝えられている。このグループは EA 従業員のログイン資格情報を複製し、最終的には会社のネットワークにアクセスし、780 ギガバイトのデータを盗むことができました。このグループは、EA を恐喝するために使用したゲームとグラフィック エンジンのソース コードの詳細を収集しました。
同様に、Lapsus$ は 3 月に Nvidia の データベースをハッキングしました 。報告書によると、この侵害により、回路図、ドライバー、ファームウェアの詳細を含む会社からの 1TB のデータに加えて、70,000 人以上の従業員のログイン情報が漏洩した可能性があるとされています。ただし、このハッキングが Cookie の盗用によるものかどうかについては明らかではありません。
アマゾン ウェブ サービス (AWS)、Azure、Slack などのサービスとしてのソフトウェア製品の場合、その他の Cookie 盗用の機会は簡単に突破できる可能性があります。これらは、ハッカーが基本的なアクセス権を持っているものの、ユーザーをだましてマルウェアをダウンロードさせたり、機密情報を共有させたりすることから始まります。このようなサービスは、開いた状態で永続的に実行される傾向があります。つまり、プロトコルがセキュリティ的に安全であるほど Cookie の有効期限が切れる頻度が低いことを意味します。
ソフォスは、ユーザーはより良いプロトコルを維持するために定期的に Cookie をクリアできると述べています。ただし、それは毎回再認証する必要があることを意味します。