パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態
配信
4日間継続した実際の攻撃
Proofpointは、実際のアカウント乗っ取り(ATO:Account Takeover)がおよそ4日間継続した事例を確認した。攻撃者は「Adversary-in-the-Middle」(AiTM)と呼ばれる中間者攻撃型のフィッシング手法を使用したと推定される。特に「Tycoon」フィッシングキットの特徴が確認された。攻撃者は米国のVPN(仮想プライベートネットワーク)を経由して侵入した。 侵入後、攻撃者は悪意あるメールボックスルールを作成し、「test」という名前の内部アプリケーションを登録した。このアプリケーションにMail.Readおよびoffline_access権限を付与することで、パスワード変更後も被害者のメールボックスへのアクセスを維持した。 約4日後にユーザーのパスワードが変更された。その後ナイジェリアの一般家庭向けIPアドレスからログイン試行があったが失敗している。しかし、悪意あるアプリケーションは依然として有効なままだった。この事例は、これらの攻撃が実際に悪用されている現実の脅威であることを示している。
即時対応と継続的な監視が必要
Proofpointは、悪意あるアプリケーションが疑われる場合、即時の修復措置を講じることが極めて重要だと指摘している。 優先対応事項として、まずクライアントシークレットと証明書を全て無効化する。これにより、アプリケーションが新しいトークンを要求できなくなる。次に、全てのユーザートークンを失効させる。その上で、アプリケーション登録全体を削除し、これまでに付与された全ての権限を取り消す。 継続的なモニタリングの実装も重要だ。業務アプリケーションを常時監視し、不審な活動を検出した場合は自動的に修復する仕組みが必要だ。これにより攻撃者による永続的なアクセスを防ぐことができる。 ユーザー教育も欠かせない。正規のアプリケーションに偽装した悪意あるアプリケーションの見分け方、予期しない同意リクエストへの対処法、不審なアプリケーションの報告手順が重要だ。これらについて、定期的なトレーニングを実施すべきだとしている。
@IT
- 14
- 15
- 5