マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨

今回は「マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Microsoftは米国時間11月16日、多要素認証(MFA)に対する攻撃に対抗する複数の緩和策について同社ブログで説明した。ただこれらの緩和策は残念ながら、リモートワーカーにとって面倒なものに感じられるかもしれない。

 3年前であれば、MFAを採用する企業はほとんど存在していなかったため、同認証に対する攻撃も珍しかった。このため、Microsoftはこうした攻撃に関する相応の統計情報を持っていなかった。

 しかし、パスワードに対する攻撃がより一般的になり、それに伴ってMFAの利用が増加する中、同認証を回避しようとする攻撃者によるトークンの窃盗が増加していると同社は述べている。

 この種の攻撃において攻撃者は、既にMFAによる認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、異なるデバイスからアクセスを得ようとする。このトークンは、パスワード攻撃に対する耐性を維持しつつ、ユーザー認証を迅速かつ簡便に実現することを目的としたOAuth 2.0という同一性確認プラットフォームの核となる技術であり、「Azure Active Directory」(Azure AD)などで採用されている。

 同社は、トークン窃取の危険性について警告を発している。というのも、こういった攻撃は実行にさほど高い技術力を必要とせず、検知されにくいという点、そしてこの手法が最近になって増加しており、ほとんどの組織が緩和策を導入していないという点があるためだ。

 同社はブログに「MicrosoftのDetection and Response Team(DART)は最近、攻撃者によるMFAを回避する目的でのトークン利用の増加を観測している」と記している。

 「脅威アクターは、MFAでの認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、MFA認証を満たし、組織のリソースへのアクセス権を取得することになる。これは防御側にとって憂慮すべき戦術だ。というのもトークンを窃取するために必要となる専門知識はさほど多くなく、その検出は難しく、組織のインシデント対応計画にトークン窃取の緩和策が盛り込まれていることはほとんどないためだ」(Microsoft)

 Azure ADによって保護されているウェブアプリケーションにアクセスする際、ユーザーは自らの認証情報を使ってAzure ADにサインインした後で発行される有効なトークンを提示する必要がある。こうした流れは、システム管理者がポリシーによって設定可能だ。そして、ユーザーに対して発行されたトークンがウェブアプリケーションに提示される結果、トークンが認証され、アクセスが許可される。

 また同社は、ユーザーが遠隔地から組織のシステムにアクセスする際に攻撃者のインフラを介するように仕向ける「Adversary-in-the-middle」(AiTM)攻撃に関する説明の中で、「ユーザーがフィッシング攻撃の被害者となった場合、悪意を有するインフラがユーザーの認証情報とトークンの双方を窃取することになる」と説明している。

 認証情報とトークンの両方が盗まれた場合、攻撃者はこれらを使ったさまざまな攻撃が可能になる。同社は、現在サイバー犯罪による金銭的損失の最大の原因となっている、ビジネスメールの漏えいを例として挙げている。

 同社はまた、「Pass-the-cookie」攻撃についても警告している。これは、攻撃者がデバイスに侵入して、Azure ADの認証完了後に作成されるブラウザーのクッキーを盗むという攻撃手法だ。奪ったクッキーをほかのブラウザーやシステムに渡せば、セキュリティチェックを迂回(うかい)できる。

 同社は、「個人所有の端末で会社のリソースにアクセスしているユーザーは、特に大きなリスクにさらされている。個人所有のデバイスは、企業が管理するものよりもセキュリティ管理が脆弱であることが多く、ITスタッフがそれらのデバイスを把握できておらず、侵害の有無を判断できないケースがある」と述べている。これは、個人所有のデバイスを使用するリモートワーカーはよりリスクが高いということを意味している。

 MFAに対するトークン窃取攻撃の脅威に対抗する手段として、同社はセッションの有効時間とトークンの寿命を短縮することを推奨しているが、それを行えばユーザーの利便性が犠牲になる。提案されている緩和策には次のようなものが含まれている。

 また、ユーザー認証に「FIDO2」のセキュリティー、「Windows Hello for Business」、あるいは証明書を用いた認証を導入することも推奨している。

 グローバルドメインの管理者といった高レベルの権限を持つユーザーは、分離されたクラウド専用のIDを持つべきだと同社は指摘している。これによって、オンプレミスのシステムが侵害された場合に、オンプレミスからクラウドへ攻撃される際の攻撃対象領域を狭められる。そして、これらのIDはメールボックスを持つべきではないとしている。

 さらに記事の中で同社は、「組織はすべてのアプリケーションに対して位置情報、デバイスのコンプライアンス、セッションの有効期間に関する制限を行うことが望ましいが、それが現実的ではない場合もある」とも述べている。

元記事: https://japan.zdnet.com/article/35196338/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
あの「INFOBAR」がカプセルトイに 「ニシキゴイ」など精巧に再現
くらテク
2021-01-26 06:10
東海カーボン、ノーコード/ローコード開発基盤でシステムを内製化
IT関連
2021-05-27 15:32
三菱電機のFA事業におけるCRMの世界展開の方法
IT関連
2023-10-12 20:17
マイクロソフト、金融業界のDX推進で新プログラム
IT関連
2021-01-29 19:05
「心、おどる、デジタル」のもと日本社会を活性化–アドビ・神谷社長
IT関連
2023-01-11 13:41
GPS用いた居場所探索規制へ 警察庁のストーカー規制検討会が報告書
IT関連
2021-01-30 13:00
Amazon、アレクサのウェイクワードや声、機能などカスタマイズできる「Alexa Custom Assistant」発表
クラウドユーザー
2021-01-19 08:49
NTT東西、4月3日のアクセス障害は45万弱の回線に影響–原因は海外メーカー製装置の故障
IT関連
2023-04-05 14:32
課税事業者への変更は6割、未対応企業はインボイス制度を「理解していない」
IT関連
2022-10-25 00:46
開発者不足の先にある世界は?–セールスフォース幹部に聞く
IT関連
2023-07-26 14:23
リモートワーク社員を「遊び」でつなぐ「バヅクリ」を手がけるプレイライフが1.4億円を調達
ネットサービス
2021-06-16 12:18
グーグルとセールスフォースが提携、データとAIで顧客体験を向上へ
IT関連
2023-06-10 02:21
「Googleドライブ」を整理して効率を高める5つのヒント
IT関連
2022-10-04 18:52
「理解助ける」「視力低下」 デジタル教科書、長短ふまえ議論加速
IT関連
2021-02-25 18:15