OAuthアプリ悪用によるクラウド侵害の新たな手口
クラウドアカウント乗っ取り攻撃は、単純な認証情報窃盗の域を超え、進化を遂げています。サイバー犯罪者は現在、OAuthアプリケーションを悪用することで、侵害された環境への永続的なアクセスを維持し、従来のセキュリティ対策であるパスワードリセットや多要素認証を回避しています。
クラウドアカウント乗っ取り(ATO)攻撃は近年、大きな懸念事項となっており、サイバー犯罪者や国家支援型アクターは、侵害された環境内で永続的なアクセスを得る手段として、悪意のあるOAuthアプリケーションをますます採用しています。これらの攻撃により、悪意のあるアクターはユーザーアカウントを乗っ取り、偵察を行い、データを持ち出し、さらなる悪意のある活動を開始することができます。
Proofpointの研究者たちは、これらの攻撃が完全に自動化され得ることを実証しており、脅威アクターはすでにこれらの脆弱性を積極的に悪用しています。セキュリティ上の影響は特に懸念されます。攻撃者がクラウドアカウントへのアクセス権を得ると、カスタム定義されたスコープと権限を持つ内部(セカンドパーティ)アプリケーションを作成および承認できます。この機能により、メールボックスやファイルなどの重要なリソースへの永続的なアクセスが可能になり、パスワード変更のような従来のセキュリティ対策を効果的に回避します。
OAuthアプリケーションの種類を理解する
クラウド環境、特にMicrosoft Entra IDのコンテキストでは、セカンドパーティアプリケーションとサードパーティアプリケーションの違いを理解することが重要です。
- セカンドパーティアプリケーション:組織のテナント内に直接登録されます。内部アプリケーションとも呼ばれ、通常は組織の管理者または適切な権限を持つユーザーによって作成および管理されます。セカンドパーティアプリケーションは、組織自身のディレクトリから発生するため、環境内で暗黙的な信頼レベルを継承します。
- サードパーティアプリケーション:外部テナントに登録され、他の組織のテナント内のリソースへのアクセスを要求します。一般的な例としては、ZoomやDocuSignなどの広く使用されているサービスが挙げられます。
この区別はセキュリティの観点から特に重要であり、脅威アクターはポストエクスプロイト段階でセカンドパーティアプリケーションを作成することを好む傾向があります。これらの内部アプリケーションは検出がより困難であり、主に外部アプリケーションの監視のために設計されたセキュリティ制御を回避する可能性があります。
攻撃者が永続的なアクセスを確立する方法
サイバー犯罪者は、クラウドユーザーアカウントへの初期アクセスを得るために、さまざまな技術を組み合わせて利用することがよくあります。一般的な戦術の1つは、認証情報とセッションクッキーの窃盗を可能にする個別化されたフィッシング詐欺と組み合わせたリバースプロキシツールキットの使用です。攻撃者がユーザーのログイン認証情報を盗むと、標的のアカウントへの不正アクセスを確立し、攻撃の次の段階への準備を整えることができます。
初期アクセスが成功した後、攻撃者は悪意のあるOAuthアプリケーションの作成と展開に移行することがよくあります。このプロセスには通常、侵害されたアカウントの特権を利用して新しい内部アプリケーションを登録し、最大限の影響を与えるために特定の権限とAPIスコープを構成し、これらのアプリケーションに重要な組織リソースへのアクセスを承認することが含まれます。
このアプローチの戦略的価値は、その永続性メカニズムにあります。侵害されたユーザーの認証情報がリセットされたり、多要素認証が強制されたりしても、悪意のあるOAuthアプリケーションは承認されたアクセスを維持します。これにより、環境内で無期限に検出されずに残る可能性のある回復力のあるバックドアが作成されます。
Proofpointの研究者たちは、脅威アクターが悪意のあるOAuthアプリケーションを通じて永続的なアクセスを確立する方法を実証する自動化されたツールキットを開発しました。この実装の重要な側面は、所有権の帰属です。侵害されたユーザーアカウントが新しく作成されたアプリケーションの登録所有者となり、組織の環境内で正当な内部リソースとして効果的に確立されます。
この所有権モデルにはいくつかの戦術的な利点があります。アプリケーションは内部で開発されたリソースとして表示され、認証要求は組織のテナント内から発生します。アプリケーションは内部リソースに関連付けられた信頼関係を継承し、標準のサードパーティアプリケーションセキュリティ制御ではこのアクティビティを検出またはフラグ付けできない場合があります。
アプリケーションの登録が成功すると、ツールは自動的に2つの重要な認証コンポーネントを確立します。アプリケーションシークレットの生成とトークンの収集です。ツールはまず、アプリケーションの独自の認証情報として機能する暗号化されたクライアントシークレットを作成します。次に、自動化はアクセストークン、リフレッシュトークン、IDトークンを含む複数のOAuthトークンタイプを収集します。
パスワードリセット後、ツールは悪意のあるアプリケーションのアクセスが継続的に有効であることをいくつかの主要な活動を通じて実証します。ユーザーのメールボックスの内容を正常に取得し、受信および過去のメールへの継続的なアクセスを維持します。これは、ユーザーの認証情報の変更とは独立して動作します。
不正アクセスの範囲はメールをはるかに超え、SharePointドキュメント、OneDriveに保存されたファイル、Teamsメッセージ、カレンダー情報、組織の連絡先、その他のMicrosoft 365リソースに及びます。
実際に観測された現実世界の攻撃
Proofpointのテレメトリは、4日間継続した現実世界のアカウント乗っ取りインシデントを明らかにしました。初期の侵害は、Adversary-in-the-Middle(AiTM)フィッシング攻撃、特にTycoonフィッシングキットに関連する可能性が最も高いユーザーエージェント署名を使用したログイン試行の成功によって検出されました。
米国を拠点とするVPNプロキシを介して活動する脅威アクターは、いくつかの悪意のあるアクションを実行しました。悪意のあるメールボックスルールを作成し、「test」という名前の内部アプリケーションを登録し、Mail.Readおよびoffline_access権限を持つアプリケーションシークレットを追加しました。これにより、パスワード変更後も被害者のメールボックスへの永続的なアクセスが可能になりました。
約4日後、ユーザーのパスワードが変更され、その後、ナイジェリアの居住用IPアドレスからのログイン試行の失敗が観測されました。これは、脅威アクターの出身地を示唆している可能性があります。しかし、アプリケーションはアクティブなままでした。
このケーススタディは、これらの脅威が単なる理論的なものではなく、現在の脅威ランドスケープにおいて積極的に悪用されているリスクであることを示す具体的な例として機能します。