はじめに
クラウドアカウント乗っ取り攻撃は、単純な認証情報窃盗を超えて進化しています。サイバー犯罪者は現在、OAuthアプリケーションを悪用し、侵害された環境への永続的なアクセスを維持しており、パスワードリセットや多要素認証といった従来のセキュリティ対策を回避しています。
クラウドアカウント乗っ取り(ATO)攻撃とOAuth
近年、クラウドアカウント乗っ取り(ATO)攻撃は大きな懸念事項となっており、サイバー犯罪者や国家支援型アクターは、侵害された環境内で永続的なアクセスを得る手段として、悪意のあるOAuthアプリケーションをますます採用しています。これらの攻撃により、悪意のあるアクターはユーザーアカウントを乗っ取り、偵察を行い、データを持ち出し、さらなる悪意のある活動を開始することができます。Proofpointの研究者は、これらの攻撃が完全に自動化され得ることを実証しており、脅威アクターはすでにこれらの脆弱性を積極的に悪用しています。セキュリティへの影響は特に懸念されます。攻撃者がクラウドアカウントへのアクセスを獲得すると、カスタム定義されたスコープと権限を持つ内部(セカンドパーティ)アプリケーションを作成および承認できます。この機能により、メールボックスやファイルなどの重要なリソースへの永続的なアクセスが可能になり、パスワード変更などの従来のセキュリティ対策を効果的に回避します。
OAuthアプリケーションの種類の理解
クラウド環境、特にMicrosoft Entra IDにおいては、セカンドパーティアプリケーションとサードパーティアプリケーションの違いを理解することが重要です。
- セカンドパーティアプリケーション:組織のテナント内に直接登録されます。内部アプリケーションとも呼ばれ、通常、組織の管理者または適切な権限を持つユーザーによって作成および管理されます。これらは組織自身のディレクトリから発生するため、環境内で暗黙的な信頼レベルを継承します。
- サードパーティアプリケーション:外部テナントに登録され、他の組織のテナント内のリソースへのアクセスを要求します。一般的な例としては、ZoomやDocuSignなどの広く使用されているサービスがあります。
サードパーティアプリケーションは通常、アクセスを許可される前に、管理者の同意ワークフローや組織のセキュリティポリシーを通じて追加の精査を受けます。この区別はセキュリティの観点から特に重要であり、脅威アクターは侵害後の段階でセカンドパーティアプリケーションを作成することを好む傾向があります。これらの内部アプリケーションは検出がより困難であり、外部アプリケーションの監視を目的としたセキュリティ制御を回避する可能性があります。
攻撃者が永続的なアクセスを確立する方法
サイバー犯罪者は、クラウドユーザーアカウントへの初期アクセスを得るために、複数の手法を組み合わせて利用することがよくあります。一般的な戦術の1つは、認証情報とセッションクッキーの窃盗を可能にする、個別化されたフィッシング詐欺とリバースプロキシツールキットの使用です。攻撃者がユーザーのログイン認証情報を盗むと、標的のアカウントへの不正アクセスを確立し、攻撃の次の段階への準備を整えます。標準的な管理インターフェースにおけるこの可視性は、悪意のあるアプリケーションが特に精査されない限り、正当なビジネスアプリケーションと混同される可能性があるため、定期的なアプリケーションの監査と監視の重要性を強調しています。
初期アクセスが成功した後、攻撃者は悪意のあるOAuthアプリケーションの作成と展開に移行することがよくあります。このプロセスには通常、侵害されたアカウントの権限を利用して新しい内部アプリケーションを登録し、最大の効果を得るために特定の権限とAPIスコープを設定し、これらのアプリケーションに重要な組織リソースへのアクセスを許可することが含まれます。このアプローチの戦略的価値は、その永続性メカニズムにあります。侵害されたユーザーの認証情報がリセットされたり、多要素認証が強制されたりしても、悪意のあるOAuthアプリケーションは承認されたアクセスを維持します。これにより、環境内で無期限に検出されないまま残る可能性のある、回復力のあるバックドアが作成されます。
Proofpointの研究者は、脅威アクターが悪意のあるOAuthアプリケーションを通じて永続的なアクセスを確立する方法を実証する自動化ツールキットを開発しました。この概念実証は、実際の攻撃シナリオを反映するいくつかの主要な機能を実装しています。
- 自動化されたOAuthアプリケーションの登録と構成
- カスタマイズ可能な権限スコープの選択
- ユーザー認証情報に依存しない永続的なアクセスメカニズム
- 構成可能なアプリケーション命名規則
最初に侵害されたアカウントから開始し、このツールは自動化されたアプリケーション作成を通じて、侵害後のプロセスを効率化します。このデモンストレーションではランダムなアプリケーション名を使用していますが、実際の脅威アクターは、検出を回避するために正当なビジネスアプリケーションを模倣する欺瞞的な命名戦略を通常採用します。
自動展開プロセス中に、攻撃者の目的に合致する事前構成された権限スコープを持つアプリケーションが登録されます。この実装の重要な側面は、所有権の帰属です。侵害されたユーザーアカウントが新しく作成されたアプリケーションの登録所有者となり、組織の環境内で正当な内部リソースとして効果的に確立されます。この所有権モデルにはいくつかの戦術的な利点があります。
- アプリケーションは内部で開発されたリソースとして表示されます。
- 認証要求は組織のテナント内から発生します。
- アプリケーションは内部リソースに関連付けられた信頼関係を継承し、標準的なサードパーティアプリケーションのセキュリティ制御ではこの活動を検出またはフラグ付けできない場合があります。
アプリケーションの登録が成功すると、ツールは自動的に2つの重要な認証コンポーネント、すなわちアプリケーションシークレットの生成とトークンの収集を確立します。ツールはまず、アプリケーションの独自の認証情報として機能する暗号化クライアントシークレットを作成します。次に、自動化はアクセストークン、リフレッシュトークン、IDトークンを含む複数のOAuthトークンタイプを収集します。
パスワードリセット後、ツールはいくつかの主要な活動を通じて、悪意のあるアプリケーションのアクセスが持続的に有効であることを実証します。ユーザーのメールボックスの内容を正常に取得し、受信および過去のメールへの継続的なアクセスを維持します。これは、ユーザーの認証情報の変更とは独立して機能します。不正アクセスの範囲はメールをはるかに超え、SharePointドキュメント、OneDriveに保存されたファイル、Teamsメッセージ、カレンダー情報、組織の連絡先、およびその他のMicrosoft 365リソースを網羅します。
実際に観測された現実世界の攻撃
Proofpointのテレメトリは、4日間継続した実際のクラウドアカウント乗っ取り事件を明らかにしました。初期の侵害は、Adversary-in-the-Middle(AiTM)フィッシング攻撃、特にTycoonフィッシングキットに関連する可能性が高いユーザーエージェント署名を使用したログイン試行によって検出されました。
米国を拠点とするVPNプロキシを介して活動する脅威アクターは、いくつかの悪意のある行動を実行しました。
- 悪意のあるメールボックスルールを作成
- 「test」という名前の内部アプリケーションを登録
- Mail.Readおよびoffline_access権限を持つアプリケーションシークレットを追加
これにより、パスワード変更後も被害者のメールボックスへの永続的なアクセスが可能になりました。約4日後、ユーザーのパスワードが変更され、その後ナイジェリアの居住用IPアドレスからのログイン失敗が観測され、脅威アクターの出身地を示唆しています。しかし、悪意のあるアプリケーションは活動を継続していました。このケーススタディは、これらの脅威が単なる理論上のものだけでなく、現在の脅威状況において積極的に悪用されているリスクであることを示す具体的な例として機能します。