サイバー攻撃者が狙う標的と言えば、真っ先に挙がるのがユーザー名（ID）とパスワードだ。セキュリティ対策においては当然、この認証情報の保護が1つの焦点になる。

現在はパスワードレス認証や多要素認証が普及したことで、攻撃者は認証情報を盗むのが難しくなってきた。必然、標的は他に移る。Okta シニアソリューションエンジニアの岸本卓也氏が新たな標的として挙げたのが、「認証の証明（Proof of Authentication）」だ。

Okta シニアソリューションエンジニアの岸本卓也氏

認証の証明とは簡単に言えば、いったん認証が完了してログインした後にWebサイトとユーザー間で交換・共有される情報のこと。Cookieの場合は、認証後にユーザーのWebブラウザとWebサイトでやり取りされるセッション管理情報（セッションクッキー）がこれに当たる。

下の図表のように、認証後にWebサイトからユーザーへ送られるSID（図中の紫色）を盗まれると、セッションが不正に乗っ取られる。「セッションハイジャックによって、攻撃者がユーザーになりすますことができる。そこから様々な情報を取得し、次の攻撃に移行することができてしまう」と岸本氏はその危険性を指摘する。

「認証の証明」（Cookieの場合）とその攻撃手法

認証・ログイン後も「リスクは変化する」

ゼロトラストセキュリティはそもそも、社内システムやクラウド上の業務アプリ／リソースへアクセスしようとするユーザーやデバイスを「信用しない」ことを原則とする。従来の境界型防御とは異なり、アプリやリソースにアクセスする都度、そのユーザーやデバイスが正しいか否かを判断する。

だが、リスクの程度は認証後にも変化する。特定のSaaSアプリにログインし、「通信が始まってからもリスクは上がる。にも関わらず、いったん認証が終われば、追加で認証を要求することは今までなかった」（同氏）。近年、セッションクッキーを窃取するマルウェアが急増しているという。

これを踏まえて、認証の証明を標的とした攻撃に対処するのが、Oktaの新製品「Identity Threat Protection with Okta AI」（ITP with AI）だ。継続的にアイデンティティ脅威を評価し、必要な対処を自動的に行う。