マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨

今回は「マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Microsoftは米国時間11月16日、多要素認証(MFA)に対する攻撃に対抗する複数の緩和策について同社ブログで説明した。ただこれらの緩和策は残念ながら、リモートワーカーにとって面倒なものに感じられるかもしれない。

 3年前であれば、MFAを採用する企業はほとんど存在していなかったため、同認証に対する攻撃も珍しかった。このため、Microsoftはこうした攻撃に関する相応の統計情報を持っていなかった。

 しかし、パスワードに対する攻撃がより一般的になり、それに伴ってMFAの利用が増加する中、同認証を回避しようとする攻撃者によるトークンの窃盗が増加していると同社は述べている。

 この種の攻撃において攻撃者は、既にMFAによる認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、異なるデバイスからアクセスを得ようとする。このトークンは、パスワード攻撃に対する耐性を維持しつつ、ユーザー認証を迅速かつ簡便に実現することを目的としたOAuth 2.0という同一性確認プラットフォームの核となる技術であり、「Azure Active Directory」(Azure AD)などで採用されている。

 同社は、トークン窃取の危険性について警告を発している。というのも、こういった攻撃は実行にさほど高い技術力を必要とせず、検知されにくいという点、そしてこの手法が最近になって増加しており、ほとんどの組織が緩和策を導入していないという点があるためだ。

 同社はブログに「MicrosoftのDetection and Response Team(DART)は最近、攻撃者によるMFAを回避する目的でのトークン利用の増加を観測している」と記している。

 「脅威アクターは、MFAでの認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、MFA認証を満たし、組織のリソースへのアクセス権を取得することになる。これは防御側にとって憂慮すべき戦術だ。というのもトークンを窃取するために必要となる専門知識はさほど多くなく、その検出は難しく、組織のインシデント対応計画にトークン窃取の緩和策が盛り込まれていることはほとんどないためだ」(Microsoft)

 Azure ADによって保護されているウェブアプリケーションにアクセスする際、ユーザーは自らの認証情報を使ってAzure ADにサインインした後で発行される有効なトークンを提示する必要がある。こうした流れは、システム管理者がポリシーによって設定可能だ。そして、ユーザーに対して発行されたトークンがウェブアプリケーションに提示される結果、トークンが認証され、アクセスが許可される。

 また同社は、ユーザーが遠隔地から組織のシステムにアクセスする際に攻撃者のインフラを介するように仕向ける「Adversary-in-the-middle」(AiTM)攻撃に関する説明の中で、「ユーザーがフィッシング攻撃の被害者となった場合、悪意を有するインフラがユーザーの認証情報とトークンの双方を窃取することになる」と説明している。

 認証情報とトークンの両方が盗まれた場合、攻撃者はこれらを使ったさまざまな攻撃が可能になる。同社は、現在サイバー犯罪による金銭的損失の最大の原因となっている、ビジネスメールの漏えいを例として挙げている。

 同社はまた、「Pass-the-cookie」攻撃についても警告している。これは、攻撃者がデバイスに侵入して、Azure ADの認証完了後に作成されるブラウザーのクッキーを盗むという攻撃手法だ。奪ったクッキーをほかのブラウザーやシステムに渡せば、セキュリティチェックを迂回(うかい)できる。

 同社は、「個人所有の端末で会社のリソースにアクセスしているユーザーは、特に大きなリスクにさらされている。個人所有のデバイスは、企業が管理するものよりもセキュリティ管理が脆弱であることが多く、ITスタッフがそれらのデバイスを把握できておらず、侵害の有無を判断できないケースがある」と述べている。これは、個人所有のデバイスを使用するリモートワーカーはよりリスクが高いということを意味している。

 MFAに対するトークン窃取攻撃の脅威に対抗する手段として、同社はセッションの有効時間とトークンの寿命を短縮することを推奨しているが、それを行えばユーザーの利便性が犠牲になる。提案されている緩和策には次のようなものが含まれている。

 また、ユーザー認証に「FIDO2」のセキュリティー、「Windows Hello for Business」、あるいは証明書を用いた認証を導入することも推奨している。

 グローバルドメインの管理者といった高レベルの権限を持つユーザーは、分離されたクラウド専用のIDを持つべきだと同社は指摘している。これによって、オンプレミスのシステムが侵害された場合に、オンプレミスからクラウドへ攻撃される際の攻撃対象領域を狭められる。そして、これらのIDはメールボックスを持つべきではないとしている。

 さらに記事の中で同社は、「組織はすべてのアプリケーションに対して位置情報、デバイスのコンプライアンス、セッションの有効期間に関する制限を行うことが望ましいが、それが現実的ではない場合もある」とも述べている。

元記事: https://japan.zdnet.com/article/35196338/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
ソフトウェア企業に見る、DevOpsによる製品開発と事業展開の変化
IT関連
2023-01-21 08:28
AIで“空”の画像を自動変換 夕焼け→虹、曇り空→オーロラなど 商用利用OK
アプリ・Web
2021-01-14 17:17
バッテリーのリサイクルと製造を商業化するBattery Resourcersが約22億円調達
モビリティ
2021-04-14 12:31
マッチングアプリ「Omiai」が退会会員含め171万件の年齢確認書類への不正アクセス公表、運転免許証・健康保険証・パスポート・マイナンバーカード
セキュリティ
2021-05-22 15:09
「Vanilla OS」を試す–セキュリティと使いやすさを両立させたLinux OS
IT関連
2023-01-17 10:52
IT業界の2022年、次なる成長の基礎をつくる4つの重要テーマとは–Deloitte
IT関連
2022-02-04 23:48
KDDI、5G仮想化基地局にデルのサーバーを活用
IT関連
2023-06-22 03:17
GitHub、「GitHub CLI」でprojectコマンドを一般提供
IT関連
2023-07-14 07:43
生成型AIは進化に伴ってよりインクルーシブになるべき–OpenAIのCEO
IT関連
2023-06-28 11:16
記憶定着のための学習プラットフォームMonoxerが数式回答形式を強化、複雑な計算の学習時などに手書きメモを残せるように
IT関連
2022-02-15 08:50
ベンダー再編で誕生したトレリックスが狙う、新たなセキュリティ事業の強み
IT関連
2023-05-25 14:06
ソフトバンクG孫社長がNVIDIAへのArm売却断念の経緯を決算会見で説明、2022年度内に再上場目指す
IT関連
2022-02-09 19:37
ブラウザーベンチマーク「Interop 2022」–グーグル、MS、アップルなどが協力
IT関連
2022-03-08 15:29
大統領就任式を控えAirbnbが議会議事堂での暴動参加者排除に関する追加措置
ネットサービス
2021-01-13 02:08