security.riyo.me
TOKEN / SESSION

2FAとセッション窃取は、守っている段階が違う

2FAが無意味なのではありません。攻撃者がログイン処理を突破せず、ログイン後に発行された認証済み状態を盗むケースを理解します。

2FAが守るもの

新しいログイン時に、パスワードだけでは本人と判断しないための追加確認です。パスワード流出への耐性を高めます。

盗まれたセッションで起きること

攻撃者は新しくログインする代わりに、すでに認証済みの識別情報を再利用します。サービス側で無効化されるまで、セッションが悪用される可能性があります。

必要な対応

  • 感染した可能性のある端末をネットワークから切り離す
  • 別の信頼できる端末からパスワードを変更する
  • すべてのセッションをログアウトし、既存セッションを無効化する
  • 2FA、バックアップコード、認証方法を再確認する
表現上の注意

「tokenがあれば必ず何でもできる」とは限りません。サービスの実装、権限、再認証要求、失効処理によって可能な操作は変わります。記事では確認できた範囲を明記してください。