パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態
セキュリティベンダーProofpointは2025年10月21日(米国時間)、認可プロトコル「OAuth」のアプリケーションを使った攻撃手法を公開した。悪意あるOAuthアプリケーションを通じて、クラウド環境への永続的な侵害が可能になるという。 Microsoft Azureにおけるアプリケーションシークレットの場所(提供:Proofpoint) この手法では、ユーザーの認証情報をリセットしても攻撃は止まらない。多要素認証(MFA)を適用した場合でも、攻撃者は侵害されたクラウド環境へのアクセスを維持できる。Proofpointは概念実証(PoC:Proof of Concept)ツールを開発し、この攻撃が完全に自動化可能であることを実証した。
内部アプリケーションと外部アプリケーションの違いが生む脆弱(ぜいじゃく)性
攻撃の鍵となるのは、OAuthアプリケーションの種類の違いだ。クラウドID・アクセス管理システム「Microsoft Entra ID」(旧Azure Active Directory)では、セカンドパーティー(内部アプリケーション)とサードパーティー(外部アプリケーション)の2種類のアプリケーションがある。この違いの理解が、攻撃の全容を把握する上で不可欠となる。 セカンドパーティーアプリケーションは、組織のテナント内に直接登録される。組織の管理者または適切な権限を持つユーザーによって作成・管理される。組織自身のディレクトリ内から発生するため、環境内である程度の暗黙の信頼を受け継ぐ。 一方、サードパーティーアプリケーションは、外部のテナントに登録される。「Zoom」や「DocuSign」のような広く使われているサービスが該当する。アクセスが付与される前に、管理者の同意ワークフローや組織のセキュリティポリシーによる追加の精査が求められるのが通常だ。 Proofpointによると、脅威アクターは、侵害後のフェーズでセカンドパーティーアプリケーションを作成する傾向がある。それらの内部アプリケーションは、外部アプリケーションの監視を主眼に置いたセキュリティコントロールを回避しやすいため、検出がより困難になるという。
