OAuthアプリ悪用によるクラウドアカウント乗っ取りの新たな手口
クラウドアカウント乗っ取り攻撃は、単純な認証情報窃盗を超えて進化しています。サイバー犯罪者は現在、OAuthアプリケーションを悪用して、侵害された環境への永続的なアクセスを維持し、パスワードリセットや多要素認証といった従来のセキュリティ対策を回避しています。Proofpointの研究者は、これらの攻撃が完全に自動化可能であることを実証しており、脅威アクターはすでにこれらの脆弱性を積極的に悪用しています。
このセキュリティ上の影響は特に懸念されます。攻撃者が一度クラウドアカウントへのアクセスを獲得すると、カスタム定義されたスコープと権限を持つ内部(セカンドパーティ)アプリケーションを作成し、承認することができます。この機能により、メールボックスやファイルなどの重要なリソースへの永続的なアクセスが可能となり、パスワード変更のような従来のセキュリティ対策を効果的に迂回します。
Proofpointの研究者は、この攻撃ベクトルをよりよく理解し実証するために、侵害されたクラウド環境内で悪意のある内部アプリケーションの作成を自動化するツールを開発しました。テレメトリを通じて検出された実際のインシデントは、脅威アクターが実際にこのような脆弱性をどのように悪用しているかを示す具体的な証拠を提供しています。
OAuthアプリケーションの種類を理解する
クラウド環境、特にMicrosoft Entra IDの文脈では、セカンドパーティアプリケーションとサードパーティアプリケーションの区別を理解することが重要です。
- セカンドパーティアプリケーション:組織のテナント内に直接登録されます。内部アプリケーションとも呼ばれ、通常、組織の管理者または適切な権限を持つユーザーによって作成および管理されます。組織自身のディレクトリ内で生成されるため、環境内で暗黙的な信頼レベルを継承します。
- サードパーティアプリケーション:外部テナントに登録され、他の組織のテナント内のリソースへのアクセスを要求します。一般的な例としては、ZoomやDocuSignのような広く使用されているサービスがあります。
サードパーティアプリケーションは通常、アクセスを許可される前に、管理者の同意ワークフローや組織のセキュリティポリシーを通じて追加の精査を受けます。この区別はセキュリティの観点から特に重要であり、脅威アクターは侵害後の段階でセカンドパーティアプリケーションを作成することを好む傾向があります。これらの内部アプリケーションは検出がより困難であり、主に外部アプリケーションの監視のために設計されたセキュリティ制御を回避する可能性があります。
攻撃者が永続的なアクセスを確立する方法
サイバー犯罪者は、クラウドユーザーアカウントへの初期アクセスを獲得するために、しばしば複数の技術を組み合わせて利用します。一般的な戦術の1つは、認証情報とセッションクッキーの窃取を可能にする、個別化されたフィッシング詐欺と連携したリバースプロキシツールキットの使用です。攻撃者がユーザーのログイン認証情報を盗むと、標的のアカウントへの不正アクセスを確立し、攻撃の次の段階への準備を整えます。
初期アクセスが成功した後、攻撃者はしばしば悪意のあるOAuthアプリケーションの作成と展開に移行します。このプロセスには通常、侵害されたアカウントの権限を利用して新しい内部アプリケーションを登録し、最大の効果を得るために特定の権限とAPIスコープを設定し、これらのアプリケーションが重要な組織リソースにアクセスすることを承認することが含まれます。
このアプローチの戦略的価値は、その永続性メカニズムにあります。侵害されたユーザーの認証情報がリセットされたり、多要素認証が強制されたりしても、悪意のあるOAuthアプリケーションは承認されたアクセスを維持します。これにより、環境内で無期限に検出されないまま残る可能性のある、回復力のあるバックドアが作成されます。
Proofpointの研究者は、脅威アクターが悪意のあるOAuthアプリケーションを通じて永続的なアクセスを確立する方法を実証する自動化ツールキットを開発しました。この概念実証は、自動化されたOAuthアプリケーションの登録と構成、カスタマイズ可能な権限スコープの選択、ユーザー認証情報に依存しない永続的なアクセスメカニズム、および構成可能なアプリケーション命名規則など、実際の攻撃シナリオを反映するいくつかの主要な機能を実装しています。
この実装の重要な側面は、所有権の帰属です。侵害されたユーザーアカウントが新しく作成されたアプリケーションの登録所有者となり、組織の環境内で正当な内部リソースとして効果的に確立されます。この所有権モデルは、いくつかの戦術的な利点を提供します。アプリケーションは内部で開発されたリソースとして表示され、認証要求は組織のテナント内から発信されます。アプリケーションは内部リソースに関連付けられた信頼関係を継承し、標準的なサードパーティアプリケーションのセキュリティ制御ではこのアクティビティを検出またはフラグ付けできない場合があります。
アプリケーションの登録が成功すると、ツールは自動的に2つの重要な認証コンポーネントを確立します。アプリケーションシークレットの生成とトークンの収集です。ツールはまず、アプリケーションの独自の認証情報として機能する暗号化されたクライアントシークレットを作成します。次に、アクセストークン、リフレッシュトークン、IDトークンを含む複数のOAuthトークンタイプを収集します。
パスワードリセット後、ツールは悪意のあるアプリケーションのアクセスが継続的に有効であることをいくつかの主要な活動を通じて実証します。ユーザーのメールボックスの内容を正常に取得し、受信および過去のメールへの継続的なアクセスを維持します。これは、ユーザーの認証情報の変更とは独立して機能します。不正アクセスの範囲はメールをはるかに超え、SharePointドキュメント、OneDriveに保存されたファイル、Teamsメッセージ、カレンダー情報、組織の連絡先、その他のMicrosoft 365リソースを含みます。
実際に観測された攻撃事例
Proofpointのテレメトリは、4日間継続した実際のアカウント乗っ取りインシデントを明らかにしました。初期の侵害は、Adversary-in-the-Middle (AiTM) フィッシング攻撃、特にTycoonフィッシングキットに関連する可能性が高いユーザーエージェント署名を使用したログイン試行によって検出されました。
米国を拠点とするVPNプロキシを介して活動する脅威アクターは、いくつかの悪意のある行動を実行しました。悪意のあるメールボックスルールを作成し、「test」という名前の内部アプリケーションを登録し、Mail.Readおよびoffline_access権限を持つアプリケーションシークレットを追加しました。これにより、パスワード変更後も被害者のメールボックスへの永続的なアクセスが可能になりました。約4日後、ユーザーのパスワードが変更され、その後、ナイジェリアの居住用IPアドレスからのログイン失敗が観測され、脅威アクターの出身地が示唆されました。しかし、アプリケーションはアクティブなままでした。
このケーススタディは、これらの脅威が単なる理論上のものだけでなく、現在の脅威ランドスケープにおいて実際に悪用されているリスクであることを示す具体的な例として機能します。