Bitdefenderはこのほど、「The Chain Reaction: New Methods for Extending Local Breaches in Google Workspace」において、Google WorkspaceおよびGoogle Cloud Platform用の拡張検出と応答(XDR: eXtended Detection and Response)センサーの開発中に単一のエンドポイントからネットワーク全体を侵害する攻撃手法を発見したと伝えた。この手法はランサムウェア攻撃やデータ漏洩に用いられる可能性があるとしている。

  • The Chain Reaction: New Methods for Extending Local Breaches in Google Workspace

    The Chain Reaction: New Methods for Extending Local Breaches in Google Workspace

Bitdefenderは発見した攻撃手法を利用できるのはローカルにアクセスできる攻撃者に限ると注意点を述べている。そのため、この攻撃手法についてGoogleへ報告したものの、Googleは特定の脅威モデルの範囲外であるため対処する計画はないと回答したという。これはリスク評価とセキュリテイの優先順位に基づく意図的な選択であり、Googleを非難するような問題ではないことに注意してほしいとしている。

発見された攻撃手法はWindows用のGoogle認証情報プロバイダ(GCPW)をインストールした環境に特有のものとされる。WindowsユーザーはGoogle認証情報プロバイダーを使用することで、Google Workspace(Googleが提供するクラウド型グループウェア)の認証情報を使用してWindowsへのシングルサインオン(SSO: Single Sign On)が可能となる。Google認証情報プロバイダーをインストールすると、Windowsには「gaia」アカウントがランダムなパスワードと共に作成される。このgaiaアカウントはユーザーアカウントとしてではなく、Google認証情報プロバイダの動作を補助する目的で作成される。

WindowsのログオンにおいてGoogle認証情報プロバイダーを使用してサインインすると、gaiaアカウントを使用して新しいユーザーアカウントがWindowsに作成され、この新しいアカウントとGoogle Workspaceアカウントがひもづけられる。その後、新しくローカルプロファイルが作成されGoogle Workspaceへログインする。このとき、アクセストークンの再発行に使用するリフレッシュトークンがローカルプロファイルに保存される。さらにこのリフレッシュトークンはGoogle Chromeのプロファイルにも保存される。

Windowsのローカル環境にアクセスできる攻撃者は、Google Chromeのプロファイル情報を解析し、いくつかの手順を踏んでリフレッシュトークンを復号できるという。リフレッシュトークンを入手した攻撃者はいくつかの追加の情報を環境から抽出することで、Googleからアクセストークンを取得することが可能とされ、これにより攻撃者はGoogle APIへのアクセス権を手に入れることができる。また、Google APIのアクセス権を手に入れた攻撃者は、Windowsに保管されたユーザーアカウントのパスワードを復元することも可能になるという。

  • リフレッシュトークン入手の流れ - 提供:Bitdefender

    リフレッシュトークン入手の流れ 引用:Bitdefender

Bitdefenderはこの脅威からアカウントを保護するために、高度な脅威検出ソリューションを導入して不正アクセスの試みを速やかに検出できるようにすることを推奨している。また、発見した攻撃手法はセキュリティリスクではあるが、悪用するにはローカルデバイスに侵入する必要があることに注意してほしいと繰り返し指摘しており、速やかな対策が求められるような脅威ではないことを示唆している。