マイクロソフト・セキュリティーレスポンスセンターが「プレハイジャッキング攻撃」と呼ばれる新種の攻撃について2022/05/20調査論文を公開したとのこと。以下、要約。

msrc-blog.microsoft.com

被害者が登録しそうなウェブサイトに前もって本人のメールアドレスでアカウント登録し、本人が登録してウェブサイトを使い始めた後、アカウントを乗っとるという攻撃。攻撃が成立するのは被害者がまだ登録していないサイトのみ。

被害が起こりうる場面として挙げられているのは以下のような場合。

• 被害者が登録済みのサイトの傾向から、今後登録しそうなサイトを推測できる場合
• 被害者の所属組織がこれから利用する予定のサービスを特定できる場合
• ユーザー数が増加中の人気サービス（ウェブ会議など）

たとえ被害者が登録済みであっても、攻撃者には何のリスクもないのが特徴。

同センターがじっさいに最も人気のある75のウェブサイトで分析した結果、少なくとも35サイトにこの攻撃の脆弱性が見つかった。広く使われているクラウドストレージ、SNS、専門家のネットワーキングサービス、ブログ、ウェブ会議サービスなど。（これらウェブサイトには2021/03～09に脆弱性を報告済み）

この75サイト以外にも脆弱なウェブサイトやサービスが存在する可能性は高い。

根本的な原因として、登録時にメールアドレスの所有確認が完了する前に、サービスの一部が利用できることがある。この時間差が脆弱性になっている。ショートメッセージや自動音声通話などによる登録時確認でも同じ脆弱性が生じうる。

ウェブサイト側の対策として、確認が完了するまで一切サービスが使えないようにすること。

それに加えてウェブサイト側では次のような追加対策が考えられる。

• ユーザーがパスワードリセットをしたとき以下のことを行う。

1) すべてのセッションを強制サインアウトし、認証トークンもすべて無効化する。

2) メールアドレス変更手続き中の場合はすべてキャンセルする。

3) アカウントにひもづく連携先の認証アカウントや、電子メール、電話番号に通知を送信する。

• 2つのアカウントをマージする際、両方とも本人のものかユーザーに確認する。

• 電子メールの変更をユーザーにメールで確認する際（認証トークンを埋め込んだURLをクリックしてもらうなど）、確認の制限時間をできるだけ短くする。

• 本人が確認していないアカウントを監視して定期的に削除する。

ユーザー側の対策としては、多要素認証を有効化することが考えられる。事前にアカウントを登録されていたとしても、自分が登録して以降、攻撃者に悪用されるのを防げるため。（なおユーザーが多要素認証を有効化したとき、ウェブサイト側はそれまでの全セッションを無効化すること）

要約は以上。

*) 2022/05/24 10:42更新

Bleeping Computerに記事が出てましたね。

www.bleepingcomputer.com