Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。

  • Token tactics: How to prevent、detect、and respond to cloud token theft - Microsoft Security Blog

    Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog

サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection and Response Team(DART)の調査によって確認された。多要素認証が完了したIDに発行されたトークンを侵害して再生することで、サイバー攻撃者が多要素認証の検証を回避しているという。トークンを侵害するために必要な専門知識は少なく、検出が困難でインシデント対応計画にトークン盗難の緩和策を盛り込んでいる組織がほとんどいないため、防御側にとって懸念材料となっていると説明している。

観測されたトークン窃取の主な手法は、AiTM (Adversary-in-The-Middle)フィッシング攻撃およびパス・ザ・クッキー(Pass-the-Cookie)攻撃とされている。

Evilginx2のようなフレームワークを利用してユーザーとユーザーがアクセスする正規のアプリケーションの間に悪意のあるインフラを挿入し、クレデンシャルとトークンを窃取する中間者攻撃が増えていることが確認されている。トークンを盗まれた場合、攻撃者は金銭的な利益を得るためにビジネスメール詐欺(BEC: Business Email Compromise)を試みる可能性があり、グローバル管理者権限を持つトークンが盗まれた場合、Azure ADのテナントが完全に乗っ取られる可能性があると警告している。

  • Adversary-in-the-middle (AitM) attack flowchart - Microsoft Security Blog

    Adversary-in-the-middle (AitM) attack flowchart - Microsoft Security Blog

パス・ザ・クッキー攻撃は、ブラウザのクッキーを侵害することによって認証制御を回避することができるサイバー攻撃の一種とされている。ブラウザ経由でAzure ADに認証されると、セッションのクッキーが保存される。攻撃者がデバイスを侵害してブラウザのクッキーを取り出すことが可能な場合、クッキーが別のWebブラウザに渡され、セキュリティチェックポイントが回避されてしまう。特に個人所有のデバイスで企業のリソースにアクセスするユーザーが危険さらされているとのことだ。攻撃者は個人のシステムを侵害し、個人アカウントとユーザーの企業認証情報の両方に関連する認証クッキーを窃取すると、注意を呼び掛けている。

  • Pass-the-cookie attack flowchart - Microsoft Security Blog

    Pass-the-cookie attack flowchart - Microsoft Security Blog

ユーザーがどこでどのように認証しているかを完全に把握することで、トークン盗難のリスクを大幅に軽減することができるという。侵害されたユーザーが確認された場合、メールボックスルールの追加や多要素認証の変更、デバイスの追加登録、データの流出チェックなど、持続的な兆候を確認することが望まれている。