数年前まで、トークン窃取はまれな攻撃でした。それはパスワードを盗む方が Cookie を盗むよりも簡単であり、その窃取したパスワードでサインインして容易に侵入できたためです。
しかし、多要素認証が普及するに伴い、攻撃者が窃取したパスワードだけでは侵入できなくなり、「認証アーティファクト(トークンと Cookie)」を窃取する攻撃が行われるようになりました。
Addressing Data Exfiltration: Token Theft Talk - Microsoft Community Hub
Microsoft はすでに 2022年のブログでこれらの攻撃について解説しています。
Token tactics: How to prevent, detect, and respond to cloud token theft | Microsoft Security Blog
認証アーティファクトは大まかに2つに分けられます。
・ サインイン セッション アーティファクト
クライアントと Entra ID 間で、SSO とアプリ状態を維持
・ アプリ セッション アーティファクト
クライアントアプリにデータへのアクセスを許可
保護すべき最優先は、プライマリ更新トークン(PRT: Primary Refresh Token)であり、これは各OS ごとに盗難に対して強化されています。
中でも Windows は最も強力に保護しており、PRT 保護は常時オンになっています。(ポリシーで制御はできなくなっている)
サインイン セッションのトークンについては、条件付きアクセスのトークン保護ポリシーで盗まれたトークンの利用から保護します。
このトークン保護は、Windows 上の Office と Outlook でパブリックプレビュー段階です。
トークン保護のスコープに含まれていないクライアントアプリについても、Entra Global Secure Access の準拠ネットワークのチェックを有効にすることで保護できる、とされています。
アプリ セッションのトークンについては、条件付きアクセスの場所によるアクセスブロックと継続的アクセス評価(CAE: Cotinuous Access Evaluation)と、Entra Global Secure Access の組み合わせで攻撃範囲を大幅に縮小することが述べられています。
また、トークン盗難の検出には、Microsoft Entra ID Protection のリスク検出機能で異常なトークンを検出し、侵害に対処することも記載されています。
トークン盗難攻撃の蔓延に対応して、これら Microsoft ソリューションの防御強化が常にはかられています。