Microsoftはこのほど、「Threat actors misuse OAuth applications to automate financially driven attacks|Microsoft Security Blog」において、攻撃者がオープン認証「OAuth (Open Authorization)」のアプリケーションをマイニング目的の自動化ツールとして悪用していると伝えた。
OAuthアプリケーションを悪用した攻撃の概要
OAuthはユーザーが設定した権限に基づいてアプリケーションがデータやリソースにアクセスできるようにするトークンベースの認証と認可の標準規格。今回確認された攻撃では、ユーザーアカウントを侵害してOAuthアプリケーションを作成または変更し、高い権限を付与することで悪意のある活動を隠蔽することが確認されている。
このようにOAuthアプリケーションを悪用することで、攻撃者は侵害したユーザーアカウントへのアクセスを失った場合でもアプリケーションへのアクセスを維持できる。
Microsoftの調査によると、攻撃者はOAuthアプリケーションを作成または変更する権限を持つユーザーのうち、強力な認証を設定していないユーザーを主な標的にしている。脅威アクタはフィッシング攻撃やパスワードスプレー攻撃によりアカウントを侵害し、高い権限のOAuthアプリケーションを作成するなどして暗号資産マイニング用の仮想マシンをデプロイしたり、ビジネスメール詐欺(BEC: Business Email Compromise)を目的とした永続性を確保したりするなどの攻撃を行うとされる。
OAuthアプリケーションを悪用した攻撃への対策
Microsoftはこのような攻撃からシステムを保護するために、次のような軽減策を推奨している。
資格情報への攻撃を軽減
多要素認証(MFA: Multi-Factor Authentication)を有効にする。観測された主な初期アクセスの攻撃方法は、クレデンシャルスタッフィング、フィッシング、リバースプロキシフィッシングであり、侵害されたアカウントのほとんどで多要素認証が有効になっていなかった。
条件付きアクセスポリシを有効化
組織に「Microsoft Managed Conditional Access」ポリシがある場合は、これが強制されていることを確認する。ユーザとサインインのリスク、デバイスのコンプライアンス、信頼できるIPアドレス要件のポリシを有効にすることで、窃取された資格情報を悪用する攻撃を防ぐことができる。
継続的アクセス評価が有効になっていることを確認
継続的アクセス評価(CAE: Continuous Access Evaluation)が有効になっていると、ユーザの終了(セッションの完了)や信頼できない場所への移動によりリスクがあると判断された場合にリアルタイムでアクセスを取り消せる。
セキュリティのデフォルトを有効化
Azure Active Directoryライセンスの無料版を使用している組織向けのAzure ADのデフォルトでは、多要素認証、特権活動の保護などのセキュリティを提供する
Microsoft Defenderの自動攻撃中断機能を有効化
横方向の移動を最小限に抑え、攻撃の初期段階で全体的な影響を抑制する。
アプリと同意された権限を監査
アプリケーションが必要なデータのみにアクセスし、最小特権の原則を遵守していることを確認する。また、「Investigate and remediate risky OAuth apps - Microsoft Defender for Cloud Apps | Microsoft Learn」を実践し、疑わしいOAuthアプリケーションの調査を強化する
Azureクラウドリソースを保護
多要素認証をすべてのユーザ、テナント管理者、Azure VMコントリビュータに展開する。
Microsoft Defender XDRの導入を検討
脅威に関連するコンポーネントを検出できる。また、Microsoft Defender for Cloud Appsの導入も検討する。
Microsoft Entra Identity Protectionの導入を検討
異常なトークン、匿名IPアドレス、既知の脅威アクタのIPアドレスなどの脅威を検出できる。
Microsoftはこれまでに観測された攻撃について詳しく解説している。これら攻撃の多くではユーザーアカウントの侵害によりシステムに侵入され、その後の攻撃につながっており、多要素認証によるユーザアカウントの保護が強く推奨されている。また、窃取したセッション情報により侵害された例もあり、継続的アクセス評価の有効化や高度なセキュリティソリューションの導入の検討も望まれている。