サイバー攻撃速報:攻撃者はハッキングせずにログインする:MFAの盲点 > MFAの盲点

サイバー攻撃速報: 攻撃者はハッキングせずにログインする:MFAの盲点 > MFAの盲点

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
攻撃テクニック

トークン搾取攻撃

トークン悪用攻撃は、SaaSアカウントやクラウドアプリケーションに長期的に不正アクセスするために、敵がトークンやOAuthパーミッションを侵害する新たな脅威です。

定義
仕組み
攻撃者がそれを使う理由
検知
よくあるご質問(FAQ)
定義

トークン搾取とは何か?

トークンの悪用には、OAuthアクセストークンなどの認証トークンの侵害が含まれます。このトークンは、SaaS(Software-as-a-Service)プラットフォームへのアクセスを可能にするもので、ユーザー認証情報を繰り返し必要としません。これらのトークンを盗むことで、攻撃者は正当なユーザーになりすまし、機密性の高いクラウドリソースへの持続的なアクセスを維持することができます。

仕組み

トークンエクスプロイトの仕組み

攻撃者はトークンとOAuthパーミッションを悪用するためにいくつかの方法を利用します:

  • Phishing およびソーシャル・エンジニアリング: サイバー攻撃者は、詐欺的な電子メールや偽のログインページを通じて、ユーザーを騙して認証トークンを開示させたり、不必要な権限を付与させたりする。
  • 脆弱なアプリケーションの悪用:トークン管理が脆弱なアプリケーションは、安全でない保存や送信によってトークンを不注意に公開する可能性があります。
  • OAuthの設定ミス:OAuthのスコープとパーミッションが不適切に設定されていると、攻撃者が過剰なアクセスを要求できるようになり、SaaSアカウントの侵害が容易になります。
  • トークンの再生:攻撃者は一度有効なトークンを横取りすると、トークンの有効期限が切れるか失効するまで、そのトークンを再利用してサービスにアクセスすることができる。
攻撃者がそれを使う理由

攻撃者がトークン・エクスプロイトを利用する理由

トークンの悪用が攻撃者にとって魅力的な理由はいくつかある:  

  1. 永続性: 盗まれたトークンは、継続的なクレデンシャルの盗難を必要とせずに長期的なアクセスを維持する手段を提供する。
  2. 認証のバイパス:トークンにより、攻撃者は従来の多要素認証をバイパスし、効果的に正当なユーザーになりすますことができます。
  3. 横方向の移動: 攻撃者は1つのSaaSアカウントにアクセスすることで、多くの場合、相互接続されたサービスを悪用し、特権をエスカレートさせ、より広範なネットワークリソースにアクセスすることができます。
  4. ステルス:トークンは認証メカニズムの正当な一部であるため、他の侵入形態に比べ、その誤用は検知 にくい。
プラットフォーム検出

トークン搾取攻撃の防止と検知 方法

トークンの悪用から守るには、重層的なセキュリティ戦略が必要である:  

  • 強力なトークン管理を実施する:トークンを定期的にローテーションし、トークンの寿命を短く設定し、不審な活動が検出された場合はトークンを失効させる。
  • セキュアな OAuth 設定:狭いOAuthスコープを定義し、パーミッションが厳密に制御されるようにすることで、最小特権原則を実装します。
  • 異常を監視 AI主導 セキュリティ・ソリューションを使用して、認証イベントと検知 トークンの異常な使用パターンを継続的に監視する。
  • ユーザーのトレーニングと意識向上: phishing リスクと許可要求の真正性を確認することの重要性についてユーザーを教育する。
  • 高度な脅威検知機能を統合 ネットワークとアイデンティティの脅威監視を組み合わせることで、侵害の兆候を早期に検知 し、不正なトークンの活動に迅速に対応します。  

Vectra AI Platformは、高度なAI主導 脅威検知機能を活用し、SaaS環境全体の認証フローとトークンの使用状況を監視します。振る舞い パターンを分析し、異常なアクセス試行を相関させることで、セキュリティチームはトークン悪用のインシデントを迅速に特定し、リスクが拡大する前に軽減することができます。

検知
Azure ADが疑わしいOAuthアプリケーション
さらに詳しく
すべての検出を調べる

高度な検出機能でネットワークを保護

プラットフォーム
さらに詳しく

よくあるご質問(FAQ)