インターネットの普及に伴い、私たちの生活はますますオンラインサービスに依存するようになりました。しかし、その便利さの裏には常にセキュリティリスクが潜んでいます。「プリハイジャック攻撃」は、従来のアカウント乗っ取りとは異なり、ユーザーが気づかないうちにアカウントを奪われてしまう危険性があります。本記事では、プリハイジャック攻撃の概要や仕組み、対策方法について詳しく解説していきます。

アクトのサイバーセキュリティサービス

プリハイジャック攻撃とは

プリハイジャック攻撃(Pre-hijacking attack)とは、特定のユーザーのアカウントを、そのユーザーが作成する前に乗っ取ってしまう新たな攻撃手法です。この手法は、2022年5月にMicrosoft(マイクロソフト)の研究者らによって発表され、セキュリティ業界に衝撃を与えました。従来のアカウント乗っ取りが、既存のアカウントを標的にするのに対し、プリハイジャック攻撃は未だ存在しないアカウントを先回りして作成し、ユーザーが気づかないうちにアカウントを共有状態にしてしまうのが特徴です。

この攻撃手法は、「事前ハイジャック攻撃」とも呼ばれ、攻撃者が被害者のメールアドレスを使って事前にアカウントを作成し、被害者が後からそのサービスに登録した際に、知らず知らずのうちに攻撃者と同じアカウントを使用してしまうという巧妙な手口を用います。これにより、攻撃者は被害者の個人情報や活動履歴を密かに収集し、最終的にはアカウントを完全に乗っ取ることが可能になります。

関連記事
アカウント乗っ取りとは?兆候や手口、対策をわかりやすく解説

プリハイジャック攻撃の仕組み

プリハイジャック攻撃の仕組みは非常に巧妙で複雑です。まず、攻撃者は標的となる被害者のメールアドレスを入手します。次に、その被害者が将来的に利用する可能性が高いサービスを予測し、そのサービスに被害者のメールアドレスを使ってアカウントを作成します。この時点で、攻撃者は被害者になりすましたアカウントを保有することになります。

その後、被害者が実際にそのサービスに登録しようとすると、通常であれば「このメールアドレスは既に使用されています」というエラーメッセージが表示されるはずです。しかし、多くのサービスでは、ユーザーが既存のアカウントを「復活」させるオプションを提供しています。被害者がこのオプションを選択すると、知らず知らずのうちに攻撃者が作成したアカウントを使用することになります。

この状態では、被害者と攻撃者が同じアカウントを共有している状況になります。被害者は通常通りサービスを利用できるため、アカウントが乗っ取られていることに気づきません。一方、攻撃者は被害者の活動をすべて監視し、個人情報を収集することができます。さらに、攻撃者はいつでもアカウントのパスワードを変更し、完全に乗っ取ることが可能です。

プリハイジャック攻撃の主な手口

プリハイジャック攻撃には、いくつかの主要な手口があります。最も一般的なのは、「クラシックプリハイジャック」と呼ばれる手法です。この手法では、攻撃者が被害者のメールアドレスを使って事前にアカウントを作成し、被害者が後からそのサービスに登録した際に、知らず知らずのうちに攻撃者と同じアカウントを使用してしまうというものです。

次に、「アカウント復旧プリハイジャック」という手法があります。これは、攻撃者が被害者のメールアドレスでアカウントを作成した後、意図的にアカウントをロックさせます。被害者が後からそのサービスに登録しようとすると、アカウント復旧プロセスを経ることになり、結果的に攻撃者が作成したアカウントを使用することになります。

さらに、「ワンタイムパスワードプリハイジャック」という手法も存在します。この手法では、攻撃者がアカウント作成時に送信されるワンタイムパスワード(OTP)を傍受し、アカウントを有効化します。被害者が後からアカウントを作成しようとしても、既に有効化されているため、攻撃者のアカウントを使用することになります。

これらの手口に共通しているのは、被害者が気づかないうちにアカウントを共有状態にし、個人情報や活動履歴を攻撃者に漏洩させてしまうという点です。特に、最近話題になり急速に普及するサービスが狙われやすいため、新しいサービスを利用する際には特に注意が必要です。

プリハイジャック攻撃への対策

プリハイジャック攻撃は新しい脅威ですが、いくつかの効果的な対策方法があります。まず最も重要なのは、自分のメールアドレスの管理を徹底することです。メールアドレスが流出しないよう、不要なサービスへの登録を避け、信頼できないウェブサイトでメールアドレスを入力しないようにしましょう。

次に、新しいサービスに登録する際は、そのサービスで自分のメールアドレスを使用したアカウントが既に存在していないか確認することが重要です。「このメールアドレスは既に使用されています」というメッセージが表示された場合、すぐにそのサービスのサポートに連絡し、状況を説明することをおすすめします。

また、可能な限り多要素認証を有効にすることも効果的です。多要素認証を使用していれば、攻撃者がパスワードを入手しても、追加の認証なしではアカウントにアクセスできません。

最後に、自分のオンライン活動を常に監視することも大切です。定期的にアカウントの活動履歴をチェックし、不審な動きがないか確認しましょう。多くのサービスでは、ログイン履歴や接続デバイスの情報を確認できる機能が提供されています。

これらの対策を組み合わせることで、プリハイジャック攻撃のリスクを大幅に軽減することができます。しかし、サイバーセキュリティの脅威は日々進化しているため、常に最新の情報を入手し、自身の対策を更新し続けることが重要です。

アクトのサイバーセキュリティ対策支援

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。また、IT導入補助金を活用して導入することも可能です。
ご興味がございましたらお気軽にお問い合わせください。

Sentinelone