Microsoft(マイクロソフト)は、ログインシステムの脆弱性を修正した。イスラエルのサイバーセキュリティ会社であるCyberArkの研究者が、同社がうっかり抜け穴を開いたままにしていたことを発見した。それが悪用されればアカウントトークンを吸い出され、まったく気付かれないようユーザーのアカウントにアクセスするために使われる可能性もあったという。
画像クレジット:Getty Images
このバグは、攻撃者に、ユーザーのアカウントトークンをこっそりと盗むことを許してしまう。アカウントトークンとは、ユーザーが毎回パスワードを入力しなくても、ウェブサイトやアプリを使えるようにするためのもの。こうしたトークンは、ユーザーがログインすると、アプリまたはウェブサイトによって作成され、以後はユーザー名とパスワードの代わりに使われる。これによって、ユーザーはサイトに永続的にログインしたままになる。さらにユーザーは、パスワードをいちいち入力しなくても、サードパーティのアプリやウェブサイトにもアクセスできるようになる。
CyberArkが、TechCrunchにのみ明かした最新の調査結果によれば、マイクロソフトが開発したいくつかのアプリには、数十もの未登録のサブドメインが接続されていた。そうした純正のアプリは堅く信用されているため、それらの関連付けられたサブドメインを使えば、ユーザーの明示的な同意を
スポンサーリンク
マイクロソフトのログインシステムのバグによるアカウント乗っ取りの危機
IT起業ニュース
コメント