研究者がWebAuthnキー認証を回避する新たな脆弱性を特定

セキュリティ企業SlowMistが、悪意ある拡張機能やXSSを用いてWebAuthn APIを乗っ取り、パスワードレス認証システムを危険にさらす攻撃手法について警告。

205d ago

要約

SlowMistのセキュリティ担当者23pdsは、悪意あるブラウザ拡張機能やXSS脆弱性を悪用し、WebAuthnキー認証をバイパスする新たな脆弱性を報告した。この攻撃は認証方式をパスワードログインに格下げし、キー登録を改ざんすることで、被害者の端末や生体認証データにアクセスせずとも資格情報を窃取できる。脆弱性は、侵害されたウェブサイトのアカウントに深刻なリスクをもたらす。

用語解説

WebAuthn: 公開鍵暗号技術を用いたパスワードレス認証のためのWeb標準。ハードウェアセキュリティキーや生体認証デバイスを利用する場合が多い。
XSS（クロスサイトスクリプティング）: 攻撃者が悪意あるスクリプトを他のユーザーが閲覧するWebページに注入できるWebセキュリティの脆弱性。
ブラウザ拡張機能: ブラウザの機能を追加・変更するソフトウェアモジュールで、悪意あるものや侵害されたものは悪用される可能性がある。