マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨

今回は「マイクロソフト、MFAを回避する攻撃に対する緩和策の実施を推奨」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間11月16日、多要素認証(MFA)に対する攻撃に対抗する複数の緩和策について同社ブログで説明した。ただこれらの緩和策は残念ながら、リモートワーカーにとって面倒なものに感じられるかもしれない。

 3年前であれば、MFAを採用する企業はほとんど存在していなかったため、同認証に対する攻撃も珍しかった。このため、Microsoftはこうした攻撃に関する相応の統計情報を持っていなかった。

 しかし、パスワードに対する攻撃がより一般的になり、それに伴ってMFAの利用が増加する中、同認証を回避しようとする攻撃者によるトークンの窃盗が増加していると同社は述べている。

 この種の攻撃において攻撃者は、既にMFAによる認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、異なるデバイスからアクセスを得ようとする。このトークンは、パスワード攻撃に対する耐性を維持しつつ、ユーザー認証を迅速かつ簡便に実現することを目的としたOAuth 2.0という同一性確認プラットフォームの核となる技術であり、「Azure Active Directory」(Azure AD)などで採用されている。

 同社は、トークン窃取の危険性について警告を発している。というのも、こういった攻撃は実行にさほど高い技術力を必要とせず、検知されにくいという点、そしてこの手法が最近になって増加しており、ほとんどの組織が緩和策を導入していないという点があるためだ。

 同社はブログに「MicrosoftのDetection and Response Team(DART)は最近、攻撃者によるMFAを回避する目的でのトークン利用の増加を観測している」と記している。

 「脅威アクターは、MFAでの認証を完了したユーザーに対して発行されたトークンを窃取して使い回すことで、MFA認証を満たし、組織のリソースへのアクセス権を取得することになる。これは防御側にとって憂慮すべき戦術だ。というのもトークンを窃取するために必要となる専門知識はさほど多くなく、その検出は難しく、組織のインシデント対応計画にトークン窃取の緩和策が盛り込まれていることはほとんどないためだ」(Microsoft)

 Azure ADによって保護されているウェブアプリケーションにアクセスする際、ユーザーは自らの認証情報を使ってAzure ADにサインインした後で発行される有効なトークンを提示する必要がある。こうした流れは、システム管理者がポリシーによって設定可能だ。そして、ユーザーに対して発行されたトークンがウェブアプリケーションに提示される結果、トークンが認証され、アクセスが許可される。

 また同社は、ユーザーが遠隔地から組織のシステムにアクセスする際に攻撃者のインフラを介するように仕向ける「Adversary-in-the-middle」(AiTM)攻撃に関する説明の中で、「ユーザーがフィッシング攻撃の被害者となった場合、悪意を有するインフラがユーザーの認証情報とトークンの双方を窃取することになる」と説明している。

 認証情報とトークンの両方が盗まれた場合、攻撃者はこれらを使ったさまざまな攻撃が可能になる。同社は、現在サイバー犯罪による金銭的損失の最大の原因となっている、ビジネスメールの漏えいを例として挙げている。

 同社はまた、「Pass-the-cookie」攻撃についても警告している。これは、攻撃者がデバイスに侵入して、Azure ADの認証完了後に作成されるブラウザーのクッキーを盗むという攻撃手法だ。奪ったクッキーをほかのブラウザーやシステムに渡せば、セキュリティチェックを迂回(うかい)できる。

 同社は、「個人所有の端末で会社のリソースにアクセスしているユーザーは、特に大きなリスクにさらされている。個人所有のデバイスは、企業が管理するものよりもセキュリティ管理が脆弱であることが多く、ITスタッフがそれらのデバイスを把握できておらず、侵害の有無を判断できないケースがある」と述べている。これは、個人所有のデバイスを使用するリモートワーカーはよりリスクが高いということを意味している。

 MFAに対するトークン窃取攻撃の脅威に対抗する手段として、同社はセッションの有効時間とトークンの寿命を短縮することを推奨しているが、それを行えばユーザーの利便性が犠牲になる。提案されている緩和策には次のようなものが含まれている。

 また、ユーザー認証に「FIDO2」のセキュリティー、「Windows Hello for Business」、あるいは証明書を用いた認証を導入することも推奨している。

 グローバルドメインの管理者といった高レベルの権限を持つユーザーは、分離されたクラウド専用のIDを持つべきだと同社は指摘している。これによって、オンプレミスのシステムが侵害された場合に、オンプレミスからクラウドへ攻撃される際の攻撃対象領域を狭められる。そして、これらのIDはメールボックスを持つべきではないとしている。

 さらに記事の中で同社は、「組織はすべてのアプリケーションに対して位置情報、デバイスのコンプライアンス、セッションの有効期間に関する制限を行うことが望ましいが、それが現実的ではない場合もある」とも述べている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「キャプテン翼」原作・高橋陽一氏代表のサッカークラブ「南葛SC」がFiNANCiEでクラブトークン販売開始
ブロックチェーン
2021-06-18 12:42
Natureが赤外線飛距離1.5倍の新型スマートリモコン「Nature Remo mini 2 Premium」を7月7日より発売
IoT
2021-06-25 15:03
企業のオープンソース活動を支援するOpenInfraの「Directed Funding」
IT関連
2022-06-15 20:30
マイクロソフト「Edge」のIEモードテスト、「Internet Explorer Driver」を利用可能に
IT関連
2022-02-05 17:00
F5、NGINXの開発チームをロシア国外へ移転させたことを報告。開発を立て直しリリースサイクルも元通りに
Nginx
2022-05-16 02:23
高価な新型Macでもアップルの株価を救えなかった
IT関連
2022-03-10 04:16
いびきも計測してくれる新Nest Hubを試してみた :Googleさん
トップニュース
2021-05-04 09:49
「ハッカーのサマーキャンプ」Black HatとDEF CONを体験–コロナ後初の大規模開催
IT関連
2022-09-03 02:20
Facebook幹部のシモ氏をInstacartがCEOとして引き抜き
企業・業界動向
2021-07-10 20:49
グーグル、「AI Test Kitchen」を一般公開–対話型AIなど最新の成果を体験可能に
IT関連
2022-08-30 17:14
【コラム】警察犬ロボのパトロールが嫌ならCCOPS法の検討を
ロボティクス
2021-05-26 10:57
いすみ鉄道、「LINE WORKS」で観光案内サービスを強化–ペーパーレス化も促進
IT関連
2021-07-29 02:39
Twitter、新デザインは「目が痛い、頭痛がする」という苦情を受け修正 「今後もフィードバックを」
アプリ・Web
2021-08-16 22:38
サムスンがウェアラブル向け5nm新プロセッサ「Exynos W920」発表、次期Galaxy Watchで採用
ハードウェア
2021-08-12 04:28