マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨

今回は「マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Microsoftは米国時間11月16日、多要素認証(MFA)に対する攻撃に対抗する複数の緩和策について同社ブログで説明した。ただこれらの緩和策は残念ながら、リモートワーカーにとって面倒なものに感じられるかもしれない。

 3年前であれば、MFAを採用する企業はほとんど存在していなかったため、同認証に対する攻撃も珍しかった。このため、Microsoftはこうした攻撃に関する相応の統計情報を持っていなかった。

 しかし、パスワードに対する攻撃がより一般的になり、それに伴ってMFAの利用が増加する中、同認証を回避しようとする攻撃者によるトークンの窃盗が増加していると同社は述べている。

 この種の攻撃において攻撃者は、既にMFAによる認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、異なるデバイスからアクセスを得ようとする。このトークンは、パスワード攻撃に対する耐性を維持しつつ、ユーザー認証を迅速かつ簡便に実現することを目的としたOAuth 2.0という同一性確認プラットフォームの核となる技術であり、「Azure Active Directory」(Azure AD)などで採用されている。

 同社は、トークン窃取の危険性について警告を発している。というのも、こういった攻撃は実行にさほど高い技術力を必要とせず、検知されにくいという点、そしてこの手法が最近になって増加しており、ほとんどの組織が緩和策を導入していないという点があるためだ。

 同社はブログに「MicrosoftのDetection and Response Team(DART)は最近、攻撃者によるMFAを回避する目的でのトークン利用の増加を観測している」と記している。

 「脅威アクターは、MFAでの認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、MFA認証を満たし、組織のリソースへのアクセス権を取得することになる。これは防御側にとって憂慮すべき戦術だ。というのもトークンを窃取するために必要となる専門知識はさほど多くなく、その検出は難しく、組織のインシデント対応計画にトークン窃取の緩和策が盛り込まれていることはほとんどないためだ」(Microsoft)

 Azure ADによって保護されているウェブアプリケーションにアクセスする際、ユーザーは自らの認証情報を使ってAzure ADにサインインした後で発行される有効なトークンを提示する必要がある。こうした流れは、システム管理者がポリシーによって設定可能だ。そして、ユーザーに対して発行されたトークンがウェブアプリケーションに提示される結果、トークンが認証され、アクセスが許可される。

 また同社は、ユーザーが遠隔地から組織のシステムにアクセスする際に攻撃者のインフラを介するように仕向ける「Adversary-in-the-middle」(AiTM)攻撃に関する説明の中で、「ユーザーがフィッシング攻撃の被害者となった場合、悪意を有するインフラがユーザーの認証情報とトークンの双方を窃取することになる」と説明している。

 認証情報とトークンの両方が盗まれた場合、攻撃者はこれらを使ったさまざまな攻撃が可能になる。同社は、現在サイバー犯罪による金銭的損失の最大の原因となっている、ビジネスメールの漏えいを例として挙げている。

 同社はまた、「Pass-the-cookie」攻撃についても警告している。これは、攻撃者がデバイスに侵入して、Azure ADの認証完了後に作成されるブラウザーのクッキーを盗むという攻撃手法だ。奪ったクッキーをほかのブラウザーやシステムに渡せば、セキュリティチェックを迂回(うかい)できる。

 同社は、「個人所有の端末で会社のリソースにアクセスしているユーザーは、特に大きなリスクにさらされている。個人所有のデバイスは、企業が管理するものよりもセキュリティ管理が脆弱であることが多く、ITスタッフがそれらのデバイスを把握できておらず、侵害の有無を判断できないケースがある」と述べている。これは、個人所有のデバイスを使用するリモートワーカーはよりリスクが高いということを意味している。

 MFAに対するトークン窃取攻撃の脅威に対抗する手段として、同社はセッションの有効時間とトークンの寿命を短縮することを推奨しているが、それを行えばユーザーの利便性が犠牲になる。提案されている緩和策には次のようなものが含まれている。

 また、ユーザー認証に「FIDO2」のセキュリティー、「Windows Hello for Business」、あるいは証明書を用いた認証を導入することも推奨している。

 グローバルドメインの管理者といった高レベルの権限を持つユーザーは、分離されたクラウド専用のIDを持つべきだと同社は指摘している。これによって、オンプレミスのシステムが侵害された場合に、オンプレミスからクラウドへ攻撃される際の攻撃対象領域を狭められる。そして、これらのIDはメールボックスを持つべきではないとしている。

 さらに記事の中で同社は、「組織はすべてのアプリケーションに対して位置情報、デバイスのコンプライアンス、セッションの有効期間に関する制限を行うことが望ましいが、それが現実的ではない場合もある」とも述べている。

元記事: https://japan.zdnet.com/article/35196338/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Pinterestがデザインや料理をテーマに初のバーチャルライブイベントを5月24日から公開テスト
ネットサービス
2021-05-16 21:04
住友生命、デジタル戦略の実現でゼロトラストセキュリティを構築
IT関連
2024-08-16 17:03
IBMがベライゾン、Telefonicaと提携強化–ハイブリッドクラウド、エッジ、5Gなどで
IT関連
2021-06-30 03:30
MetaのザッカーバーグCEO、2023年はAIとメタバースを優先する意向
IT関連
2023-02-04 00:45
「Microsoft Teams」でフィッシング対策機能「Safe Links」が利用可能に
IT関連
2021-07-30 01:24
住友商事、グループ約900社のビジネス変革をAWSで加速–デジタルソリューションの総合商社目指す
IT関連
2023-06-24 23:30
GPS用いた居場所探索規制へ 警察庁のストーカー規制検討会が報告書
IT関連
2021-01-30 13:00
東芝データとドコモが協業–「スマートレシート」と「dアカウント」を連携
IT関連
2024-10-05 20:05
RedditがClubhouseによく似たReddit Talkを発表
ネットサービス
2021-04-21 19:25
生成AIに対する社内の需要に応えるには–CIOが注意すべき5つのポイント
IT関連
2024-03-30 14:02
タリーズコーヒー、約760店舗の「店舗カルテ」をノーコードで内製開発
IT関連
2022-06-17 19:20
フェイスブックがClubhouseクローンのライブ音声SNS機能を開発中
ネットサービス
2021-03-26 04:12
三菱電機エンジニアリング、「SAP Signavio」で業務プロセス改善–富士通が支援
IT関連
2024-12-11 09:22
セキュリティに悩む経営層の「よろず」相談窓口に–マンディアント日本代表の内山氏
IT関連
2022-09-28 14:43