SlowMist CISO：WebAuthnキーによるログインには重大なセキュリティリスクが存在します

ChainCatcherのニュースによると、SlowMistの情報セキュリティ責任者23pdsはXプラットフォームで、新しいタイプのWebAuthnキーによるログインバイパス攻撃手法について投稿しました。攻撃者は悪意のあるブラウザー拡張機能やウェブサイトのXSS脆弱性を利用してWebAuthn APIをハイジャックし、強制的にパスワードログインへダウングレードさせたり、キー登録プロセスを改ざんして認証情報を盗み取ることができます。この攻撃は、デバイスへの物理的な接触や生体認証機能へのアクセスを必要とせずに実行可能です。

WebAuthnはW3CとFIDOアライアンスによって策定された重要なWeb認証標準であり、ハードウェアキーや生体認証など複数の認証方式をサポートしています。現在、WebAuthnはウェブサイトの安全なログインに広く利用されています。関連企業やユーザーは、このセキュリティリスクに十分注意を払うことが推奨されます。