Scribble at 2025-03-24 10:50:00 Last modified: 2025-03-24 10:50:34

注釈：上記の記事を NotebookLM で要約させた文書を元に、文体や文章構造を手直ししてある。

この記事は、セキュリティ研究者 Tobia Righi 氏によって発見された、すべての主要なモバイルブラウザに存在する PassKey アカウントを Bluetooth の範囲内で乗っ取ることが可能な脆弱性 (CVE-2024-9956) について解説している。この脆弱性は、攻撃者が悪意のあるウェブページから FIDO:/ インテントをトリガーすることで、正規の PassKey 認証フローを乗っ取り、攻撃者のデバイスで PassKey 認証を完了させることを可能にする。これにより、「PassKey はフィッシング不可能である」という従来の認識を覆し、PassKey がフィッシングに対して脆弱であることが証明された。「パスワードのない快適な暮らし」は、もちろんわれわれ情報セキュリティの実務家なら最初から分かっていたことだが、幻想である。

従来、PassKey はフィッシングに対して非常に強いとされていたが、本脆弱性はこの前提を覆すものだ。Righi 氏は、「私の目標は、PassKeys がフィッシング可能であることを証明することだった」と述べている。WebAuthn の CTAP (Client to Authenticator Protocol) 標準は、クライアント（ブラウザ）と認証デバイス（モバイルフォンなど）間の安全な通信方法を定義している。BLE (Bluetooth Low Energy) は、近接性を保証することでクロスデバイス認証のセキュリティを高めるために利用される。ここで Righi 氏は、「BLEは、認証デバイスとクライアントが認証を完了するためには BLE の範囲内にある必要があるため、物理的な近接性を保証する良い方法だ」と説明している。モバイルブラウザが BLE を介した PassKey 認証を開始する際には QR コードが生成され、それをスキャンすることで FIDO:/ URI が処理される。この URI は、認証に必要な情報を含む CBOR (Concise Binary Object Representation) 形式のデータを Base-10 エンコードしたものだ。Righi 氏は、「QRコードには FIDO:/130864008... URIが含まれている」と指摘する。この脆弱性の中核は、攻撃者が制御するウェブページからこの FIDO:/ インテントをクロス・オリジンでトリガーできる点にある。

ここで攻撃者は、Bluetooth の範囲内にいる被害者が悪意のあるウェブページを訪問するだけで、PassKey 認証フローを開始させることができる。攻撃者は、ソーシャル・ログインを装った偽の Wi-Fi ログインページを設置し、被害者がメール・アドレスを入力した後にソーシャル・ログインを選択すると、バックグラウンドで正規サイトの PassKey 認証を開始し、被害者を FIDO:/ URI にリダイレクトさせる。もっと標的を絞った攻撃では、攻撃者は被害者の行動を監視し、類似ドメインを用いたフィッシングメールを送信する。被害者が偽サイトで PassKey ログインを試みると、攻撃者は裏で正規サイトの認証フローを開始し、FIDO:/ URI を被害者に送信することで、セッションを奪取できる。また、Righi 氏は、具体的な攻撃のシナリオとして「アリスは、ボブが家に帰る途中に、彼の暗号資産取引所のドメインに似たドメインを購入して悪意のあるページをホストする。『あなたのアカウントが攻撃されています！』という説得力のあるフィッシング・メールをボブが家に帰る途中に送信し、彼はすぐにそれをクリックし、PassKeyでログインするが・・・あれ？ ログインできないなぁ・・・」といった様子になるという。

この脆弱性により、攻撃者は被害者の PassKey を用いて、紐づけられたアカウントに不正にアクセスすることが可能になる。これは、従来のパスワード認証だけでなく、より安全であると考えられていた PassKey ベースの認証も、特定の条件下でフィッシング攻撃に対して脆弱であることを示している。

Righi 氏は、主要なモバイルブラウザ（Safari、Chrome、Firefox Mobile）のベンダーがこの問題を比較的迅速に修正したことに謝意を表明している。修正は、FIDO:/ URI がウェブページからナビゲーションできないようにブラックリストに追加することで行われた。