マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨

今回は「マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Microsoftは米国時間11月16日、多要素認証(MFA)に対する攻撃に対抗する複数の緩和策について同社ブログで説明した。ただこれらの緩和策は残念ながら、リモートワーカーにとって面倒なものに感じられるかもしれない。

 3年前であれば、MFAを採用する企業はほとんど存在していなかったため、同認証に対する攻撃も珍しかった。このため、Microsoftはこうした攻撃に関する相応の統計情報を持っていなかった。

 しかし、パスワードに対する攻撃がより一般的になり、それに伴ってMFAの利用が増加する中、同認証を回避しようとする攻撃者によるトークンの窃盗が増加していると同社は述べている。

 この種の攻撃において攻撃者は、既にMFAによる認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、異なるデバイスからアクセスを得ようとする。このトークンは、パスワード攻撃に対する耐性を維持しつつ、ユーザー認証を迅速かつ簡便に実現することを目的としたOAuth 2.0という同一性確認プラットフォームの核となる技術であり、「Azure Active Directory」(Azure AD)などで採用されている。

 同社は、トークン窃取の危険性について警告を発している。というのも、こういった攻撃は実行にさほど高い技術力を必要とせず、検知されにくいという点、そしてこの手法が最近になって増加しており、ほとんどの組織が緩和策を導入していないという点があるためだ。

 同社はブログに「MicrosoftのDetection and Response Team(DART)は最近、攻撃者によるMFAを回避する目的でのトークン利用の増加を観測している」と記している。

 「脅威アクターは、MFAでの認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、MFA認証を満たし、組織のリソースへのアクセス権を取得することになる。これは防御側にとって憂慮すべき戦術だ。というのもトークンを窃取するために必要となる専門知識はさほど多くなく、その検出は難しく、組織のインシデント対応計画にトークン窃取の緩和策が盛り込まれていることはほとんどないためだ」(Microsoft)

 Azure ADによって保護されているウェブアプリケーションにアクセスする際、ユーザーは自らの認証情報を使ってAzure ADにサインインした後で発行される有効なトークンを提示する必要がある。こうした流れは、システム管理者がポリシーによって設定可能だ。そして、ユーザーに対して発行されたトークンがウェブアプリケーションに提示される結果、トークンが認証され、アクセスが許可される。

 また同社は、ユーザーが遠隔地から組織のシステムにアクセスする際に攻撃者のインフラを介するように仕向ける「Adversary-in-the-middle」(AiTM)攻撃に関する説明の中で、「ユーザーがフィッシング攻撃の被害者となった場合、悪意を有するインフラがユーザーの認証情報とトークンの双方を窃取することになる」と説明している。

 認証情報とトークンの両方が盗まれた場合、攻撃者はこれらを使ったさまざまな攻撃が可能になる。同社は、現在サイバー犯罪による金銭的損失の最大の原因となっている、ビジネスメールの漏えいを例として挙げている。

 同社はまた、「Pass-the-cookie」攻撃についても警告している。これは、攻撃者がデバイスに侵入して、Azure ADの認証完了後に作成されるブラウザーのクッキーを盗むという攻撃手法だ。奪ったクッキーをほかのブラウザーやシステムに渡せば、セキュリティチェックを迂回(うかい)できる。

 同社は、「個人所有の端末で会社のリソースにアクセスしているユーザーは、特に大きなリスクにさらされている。個人所有のデバイスは、企業が管理するものよりもセキュリティ管理が脆弱であることが多く、ITスタッフがそれらのデバイスを把握できておらず、侵害の有無を判断できないケースがある」と述べている。これは、個人所有のデバイスを使用するリモートワーカーはよりリスクが高いということを意味している。

 MFAに対するトークン窃取攻撃の脅威に対抗する手段として、同社はセッションの有効時間とトークンの寿命を短縮することを推奨しているが、それを行えばユーザーの利便性が犠牲になる。提案されている緩和策には次のようなものが含まれている。

 また、ユーザー認証に「FIDO2」のセキュリティー、「Windows Hello for Business」、あるいは証明書を用いた認証を導入することも推奨している。

 グローバルドメインの管理者といった高レベルの権限を持つユーザーは、分離されたクラウド専用のIDを持つべきだと同社は指摘している。これによって、オンプレミスのシステムが侵害された場合に、オンプレミスからクラウドへ攻撃される際の攻撃対象領域を狭められる。そして、これらのIDはメールボックスを持つべきではないとしている。

 さらに記事の中で同社は、「組織はすべてのアプリケーションに対して位置情報、デバイスのコンプライアンス、セッションの有効期間に関する制限を行うことが望ましいが、それが現実的ではない場合もある」とも述べている。

元記事: https://japan.zdnet.com/article/35196338/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
DXで再注目されるチェンジマネジメントの重要性
IT関連
2021-07-14 14:11
「チャットコマース」と「接客DX」のZealsが総額18億円を調達、株式上場の準備を開始
人工知能・AI
2021-04-02 10:36
デザイン手法を再発明–ダッソーが描く「AI駆動型デザインの未来」
IT関連
2024-02-16 01:31
甘いクラウドセキュリティは格好の攻撃ターゲット–IAMポリシー見直しなど重要に
IT関連
2022-04-20 11:55
マイアミのAsteyaが小企業オーナーやギグワーカー向け「収入保険」商品を発売、保険に人間らしさをもたらす
ネットサービス
2021-03-20 08:42
Joby Aviationの墜落事故、米国運輸安全委員会が調査中
IT関連
2022-02-19 20:51
製造業の米国回帰に応える溶接ロボットのPath Roboticsが約61億円を調達
ロボティクス
2021-05-06 12:57
オープンソースのWebAssemblyサーバレス基盤「Wasm Workers Server 1.3」リリース。Gitリポジトリからコードをロードして実行可能に
JavaScript
2023-07-06 04:35
日立製作所、「OT×IT」強化に向けグローバルで組織を再編
IT関連
2023-10-29 21:57
話し言葉を手話に自動変換 なめらかな生成を実現──英研究 :Innovative Tech
トップニュース
2021-02-15 00:24
「Google One」の全プランでVPNが利用可能に
IT関連
2023-03-11 13:40
ボディワークHD、請求書管理サービスで年3000時間の業務削減
IT関連
2023-12-07 02:51
クラウドインフラ支出の伸び加速–AWS、マイクロソフト、グーグルの勢い続く
IT関連
2021-05-10 11:35
地元スーパーと連携するヨーロッパの買い物代行サービスEverliがシリーズCで約110億円調達
シェアリングエコノミー
2021-04-01 16:39