脆弱性
認証の不備
別称: 識別・認証の不備, 認証バイパス
定義
認証やセッション管理の欠陥により、攻撃者が正規ユーザーになりすましたり、アカウントを乗っ取れたりする脆弱性カテゴリ。
認証の不備とは、アプリの本人確認を回避・無力化できるあらゆる欠陥を指します。弱いパスワードの許容、ブルートフォース対策の欠如、推測可能または有効期限のないセッショントークン、安全でないパスワードリセット、MFA の欠如、JWT 署名の欠陥、認証情報の平文保存などが該当します。OWASP Top 10 の常連であり、クレデンシャルスタッフィングやアカウント乗っ取りの基盤です。対策には、固有の強いパスワード、MFA、レート制限とロックアウト、安全な保管(Argon2/bcrypt とソルト)、短命の署名付きセッショントークン、監査されたリセット/復旧フローが含まれます。
例
- URL にセッション ID を含め、ログイン後もローテーションしないアプリ。
- 4 桁の数字トークンをメール送信するパスワードリセット。
関連用語
アクセス制御の不備
認可ルールが欠落または誤って適用され、ユーザーが本来の権限を超えた操作やデータにアクセスできてしまう脆弱性カテゴリ。
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
セッションハイジャック
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
Session Fixation
Session Fixation — definition coming soon.
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
OWASP Top 10
OWASP Top 10 — definition coming soon.