多要素認証(MFA)を適用する組織が増えるにつれ、脅威アクターは MFA 応答することなく企業リソースを侵害できるようなより高度な手法に移行し始めており、Microsoft Detection and Response Team(DART)は、多要素認証を完了したトークンを盗難する攻撃者が増加について注意喚起しています。
トークン侵害については、防御者にとっては必要な専門知識が低く、検出も難しいため、軽減策を講じている組織はほとんどないと懸念されています。
Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog
この記事では、ハイブリッドワークにおいて、ユーザーは個人所有や管理されていないデバイスからも企業リソースにアクセスしている場合、管理されたデバイスよりセキュリティ制御が弱い可能性があり、企業の IT部門では把握できないと指摘しています。
このようなデバイスから、個人目的の Webサイトと企業アプリケーションに同時にサインインしている場合、トークン盗難に合う可能性も高まります。
トークン盗難を悪用するツールはすでに存在しており、資格情報の盗難マルウェアは、すでにこの手法を適用しています。
Microsoft DART によると、最も一般的なトークン盗難手法は、Adversary-in-the-Middle(AiTM)フレームワークと pass-the-cookie が可能なマルウェアの2つだそうです。
リンク先の記事では、それぞれの攻撃フローが簡易に示されています。
AiTM は、ユーザーと正当なアプリケーションの間に不正なプロキシインフラを介在させる方法で、以前も投稿しました。
多要素認証を回避する AiTM フィッシング攻撃 - tos-akibaのブログ
pass-the-cookie は、デバイスを侵害してブラウザでの認証後のセッション Cookie を抽出するものです。
Emotet、Redline、IcedID などのマルウェアにはすべて、ブラウザの Cookie を盗み出す機能が組み込まれているそうです。
リンク先の後半では、このような脅威に対する推奨事項が述べられており、ピックアップすると、
Protect(守る)
- 使用デバイスが組織で認識されるよう Intune で最新状態を保つよう管理し、デバイスベースの条件付きアクセスポリシーと組み合わせる
- FIDO2 キーや Windows Hello for Business などフィッシングに強い MFA を利用する
- テナントで高レベルの特権ユーザーは、オンプレミス侵害からの攻撃対象領域を減らすため、クラウド専用 ID とし、メールボックスもアタッチしない
Detect(見つける)
- Azure Active Directory Identity Protection や Microsoft Defender for Cloud App により、脅威アクターがトークンを利用した異常行動のアラートを見逃さない
Response and investigation(対応と調査)
- ユーザーが侵害されトークンが盗難された場合、更新トークンを取り消しアクセストークンを無効化する。
- アクセストークンは期限切れまで最大1時間は有効である可能性があるが、Azure AD の「継続的アクセス評価」のサポートにより、短縮できる場合がある。
- 侵害されたユーザーアカウントに、メール転送や多要素認証の追加、デバイス登録の追加など、永続的な兆候がみられないか確認する。
これらの対策を講じることにより、この種の脅威を検出、軽減、対応準備することになる、としています。
