パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態
配信
攻撃は初期侵入から永続化へ段階的に進行
攻撃は通常、リバースプロキシツールキットと個別に仕立てたフィッシング誘引を組み合わせて、認証情報やセッションCookieを盗むことから始まる。攻撃者がユーザーのログイン認証情報を盗むと、対象アカウントへの不正アクセスを確立し、次のフェーズに進む。 初期侵入が成功した後、攻撃者は悪意あるOAuthアプリケーションの作成と展開に取り掛かる。このプロセスには次の要素が含まれる。 ・侵害されたアカウントの権限を利用して新しい内部アプリケーションを登録 ・最大の効果を得るために特定の権限やAPI(アプリケーションプログラミングインタフェース)スコープを設定 ・これらのアプリケーションに組織の重要なリソースへのアクセスを許可 Proofpointのリサーチャーが開発したPoCツールは、この攻撃を完全に自動化できることを実証した。このツールはOAuthアプリケーションの自動登録と構成を実行する。権限スコープ選択をカスタマイズでき、ユーザー認証情報に依存しない永続的アクセスを実現する。このデモンストレーションではランダム化されたアプリケーション名を使用しているが、現実の脅威アクターは検出を避けるために正規の業務アプリケーションを模倣する。こうした欺瞞的な命名戦略を用いることが一般的だという。
パスワード変更後も完全なアクセスを維持
この永続化メカニズムの有効性を検証するために、Proofpointはツールを使って実際に再現して見せた。その結果、標準的なインシデント対応としてユーザーのパスワードを変更しても、アクセスは維持される。悪意あるアプリケーション、そのOAuthトークン、承認された権限は全て有効なままで、アクセスが継続されることが確認された。 不正アクセスの範囲はメールにとどまらない。アプリケーションが持つ権限の範囲内で、以下のような任意のリソースにアクセスできる可能性がある。 ・社内情報共有サービス「Microsoft SharePoint」のドキュメント ・オンラインストレージ「OneDrive」に保存されたファイル ・Web会議ツール「Microsoft Teams」のメッセージ ・カレンダー情報 ・組織の連絡先 悪意あるアプリケーションの痕跡は、Microsoft Entra IDの管理インタフェース内で観察できる。具体的には「App Registrations」セクションに標準的な内部登録として表示されるため、正当な業務アプリケーションに紛れ込む可能性がある。 悪意あるアプリケーションが不正なアクセスを維持できる背景にあるのは、2つの重要な対策が欠如していることだ。 1. アプリケーション登録の削除や権限の取り消しが行われないこと 2. クライアントシークレット(OAuthで使用される認証情報)に有効期限が設定されていないこと デモンストレーションでは、アプリケーションのクライアントシークレットに有効期限として2年間を設定した。これにより攻撃者は、認証情報を更新することなく長期的にアクセスを維持でき、保護されたリソースに長期間アクセスし続けることが可能になる。加えて、データを盗み出すための十分な時間を得られるだけでなく、環境内に長く潜伏することで検出を回避しやすくなる。 この長期的な持続性は重大なリスクをもたらす。侵害を発見してパスワードを変更しても、攻撃者のアクセスが継続する可能性がある。データの流出が長期間続き、過去にどのような情報が盗まれたかを特定することも難しい。 管理者が積極的に監視して対応しない限り、悪意あるアプリケーションは削除されるまで攻撃手段として機能し続ける。削除するには、アプリケーション登録の手動削除と権限の取り消し、またはクライアントシークレットの有効期限切れが必要だ。
- 14
- 15
- 5