はじめに:クラウド認証の可視化
クラウドサービスへのユーザー認証方法を正確に把握することは、効果的なセキュリティ監視において極めて重要です。最近洗練されたビットフィールドマッピング技術により、Microsoft 365監査ログ内の不透明なUserAuthenticationMethod値が解読され、数値コードが実用的で人間が判読可能な説明に変換されました。この画期的な進歩により、Microsoft 365監査ログのみが利用可能な場合でも、インシデントレスポンダーは主要な認証方法を特定できるようになります。
Microsoft 365とEntra IDログの相関分析
ユーザーがMicrosoftのクラウドサービスにサインインすると、認証イベントはMicrosoft EntraサインインログとMicrosoft 365監査ログの両方に記録されます。これらのログは同一のイベントを捕捉しますが、認証の詳細は異なる形式で保存されます。Entraログは認証方法をプレーンテキストで記述するのに対し、Microsoft 365監査ログは、その意味を説明する公式ドキュメントがないまま、16、272、33554432などの数値のUserAuthenticationMethod値のみを報告します。
Sekoia.ioのアナリストは、これらの整数が実際にはビットフィールドを表しており、各セットビットが特定の主要な認証方法に対応していることを発見しました。数値値をバイナリに変換し、アクティブなビットを特定することで、セキュリティチームはサインイン中にどの要素が使用されたかを識別できます。これには、「パスワードハッシュ同期とステージドロールアウト」のような複雑な組み合わせ方法も含まれます。
このマッピングをリバースエンジニアリングするために、研究者たちはMicrosoft 365監査ログのエントリと、同じ相関識別子(監査ログのInterSystemsIdとEntraログのcorrelationId)を共有するEntra IDサインインログを相関させました。Entraログは明確なauthenticationMethodとauthenticationMethodDetailフィールドを提供するため、チームは各ビットの10進値を対応するメソッドに一致させることができました。例えば、ビット4(10進数16)はパスワードハッシュ同期を示し、ビット8(10進数256)はステージドロールアウトを介して展開されたメソッドを示します。したがって、272(バイナリ100010000)という値は、「パスワードハッシュ同期とステージドロールアウト」を明確に表し、使用された主要な資格情報の正確な組み合わせを明らかにします。
実用的な応用と今後の課題
この方法論は、2段階のSekoia Operating Language(SOL)クエリを通じて実装されます。まず、ターゲットのUserAuthenticationMethod値を持つMicrosoft 365レコードを取得し、次に相関するEntra IDイベントをフェッチして認証方法を発生頻度で集計およびランク付けします。通常、上位の結果が数値コードにマッピングされた主要な認証要素を明らかにします。
実際には、このマッピングにより、セキュリティアナリストはパスキー(10進数33554432)やWindows Hello for Business(10進数262144)のようなフィッシング耐性のある方法をMicrosoft 365ログから直接特定できます。また、ハイブリッド認証展開におけるステージドロールアウトの進捗状況の監視も容易になります。
重要な点として、このビットフィールドは主要な認証が可能な方法のみを捕捉します。Microsoft Authenticatorのプッシュ通知やソフトウェアOATHトークンなどの一般的な二次要素のみの方法は除外されます。ただし、主要な認証が可能な方法が二次要素として機能する場合、それは一次要素とともにビットフィールドに表示されます。
これらの進歩にもかかわらず、いくつかのビット位置(例:ビット5、7、9~17、22、26)は、観測されたログに存在しないため、まだマッピングされていません。Microsoftが新しい認証オプションを導入し続けるにつれて、マッピングを最新の状態に保つためには追加の分析が必要となるでしょう。
結論とコミュニティへの呼びかけ
調査チームは、コミュニティに対し、多様な環境でこれらの調査結果を検証し、未マッピングのビットのマッピングを報告し、ビットフィールドの構造を明確にする公式ドキュメントをMicrosoftに請願するよう呼びかけています。UserAuthenticationMethodビットフィールドの構造を明らかにすることで、この技術はMicrosoft 365監査ログに限定された環境における重要な可視性のギャップを埋めます。セキュリティチームは、数値値を正確な認証イベントにデコードできるようになり、Microsoft 365およびハイブリッドIDインフラストラクチャ全体でインシデント対応、コンプライアンス監査、およびリスク評価活動を強化できます。