tos-akibaのブログ

主に Microsoft 365 Security について

2023年の IDセキュリティトレンドと Microsoft ソリューション

Microsoft の Identity Security 担当VP である Alex Weinert の投稿記事です。
 Improve identity strategy with Microsoft - Microsoft Security Blog

 

要約します。

2023年の IDセキュリティのトレンドと、それに対して何ができるか、Microsoft が何をしているか。
革新的な脅威や攻撃、研究はたくさんあり「shiny object syndrome」に陥ると何から対応するか迷い込み、防衛が完了しなくなる。
 【補足】
  シャイニーオブジェクト症候群とは、最先端の研究や輝かしい成功事例を聞くと、導入したくなること。

ランサムウェア攻撃は、ID の侵害を前提とした第2段階であることが多いため、Identity の基本を正しく理解し、目を離さない事が重要。
(航海中の脅威に例えて)これらの脅威は巧妙さと新規性が多いほど少なくなる。

 

パスワード攻撃

単純なパスワード攻撃は蔓延している
・ パスワードスプレー
   多くのアカウントに同じパスワードを推測
・ フィッシング
   偽のWebサイトやメール応答で資格情報を入力させる
・ 侵害パスワードでのリプレイ攻撃
   侵害されたパスワードを他サイトにも試す

これらの攻撃はいつでも自由に実行できる。
Microsoft毎秒 1,000回を超えるパスワード攻撃を回避しているが、侵害されたアカウントの 99.9% は多要素認証が有効になっていない。
過去6年間、Azure AD の多要素認証を執拗に提唱しているが、先月、多要素認証を利用したのはわずか 28% だった。

 

多要素認証の使用は、実行できる最も重要なことであり、すべて SKU に含まれ Azure AD に深く統合されている。
すべてのユーザーセッションを多要素認証で保護するべく、2019年以降の新規作成テナントでは既定で多要素認証を有効にしている。

 

多要素認証攻撃

多要素認証を有効にしているユーザーターゲットには、攻撃者は多要素認証自体を攻撃する。
・ SIMジャッキング、電話の脆弱性攻撃
 (電話応答の多要素認証を止める理由)
・ 多要素認証のハンマー攻撃
 (単純な承認から脱却するようお願い)
・ ユーザーをだます多要素認証の中間者攻撃
 (フィッシング耐性のある方法が重要)

これらは攻撃者の労力と投資を必要となるため月数万件の検出だが、増加傾向にある。
対応するには適切な多要素認証が重要。(Authenticator、Windows Hello、FIDO、証明書ベース認証)

 

認証後攻撃

マルウェアを使用してデバイスからトークンや Cookie を取得する攻撃方法は増加傾向にある。
トークンは、誤ったログ記録や侵害されたインフラ経由で傍受される場合もあるが、最も一般的にはマシン上のマルウェアによる。
マシン上では最小特権アクセスの使用などゼロトラストの原則が防御策。
トークン盗難のシグナルに注意する。

 

他に、OAuth の同意フィッシングがある。
これは、既存ユーザーをだましてアプリケーションにアクセス権限を与える同意リンクをクリックさせる。
確認済の発行元からのアプリケーションへの同意を制限することがおススメ。

 

インフラストラクチャ侵害

ID保護が高まるにつれ攻撃者はパッチ適用されていないオンプレミスなど脆弱性を利用してインフラを攻撃する。
Microsoft は、ハイブリッド、マルチクラウドの検出を強化し、攻撃者の IDインフラに対する移動インジケーターに対する自動保護に取り組んでいる。
オンプレミスのデプロイをマルウェアや横移動から保護するのは難しいため、依存を減らし権限をクラウド移行して分離する必要がある。
ユーザーID、人間以外の ID、IDを保存管理するインフラを保護する。

 

攻撃速度と強度

攻撃の量と強度の増加に追い付くのは難しい。
コンシューマーアカウント(Outlook.com や Xbox)はエンタープライズアカウントよりもハッキングされる可能性が 50倍低くなる。これは、多要素認証ポリシーやリスク軽減策を管理できるため。
ポスチャ―マネージメントのコストは大きいため、セキュリティ確保に必要な投資削減にも取り組んでいる。
条件付きギャップ分析、Authenticator の多要素認証疲労攻撃への適応、セキュリティデフォルトなど。

 

2023年の風向き

Identity の強化のため可能な限りのことを行う。
 1.常に Authenticator、FIDO、Windows Hello、CBA を使った多要素認証でユーザーを保護する
 2.条件付きアクセスルールをアプリに適用して攻撃から防御
 3.モバイルデバイス管理ポリシーとエンドポイント保護ポリシー
  (特に、デバイスでの管理者実行を禁止し、トークン盗難を抑制)
 4.オンプレミスの露呈を制限し、SOC と ID取り組みでインフラを確実に保護
 5.クラウドファーストのアプローチ、一般的な問題への自動応答など、俊敏性に重点を置く

まとめとして、多層防御のアプローチで複数の防御をする。