OAuthは、アプリにおけるアクセス委譲のための重要な標準となっている。しかし、特にOffice 365のようなプラットフォームにおいて、悪意のあるOAuthアプリに関わるインシデントが増加しており、重大な脆弱性が浮き彫りになっている。この脆弱性は、多要素認証 (MFA)対策が施されていても存続する。
OAuthサイバーセキュリティにおけるMFAの限界
多要素認証(MFA)はオンラインアカウントの安全性を確保するための重要なステップですが、万全ではありません。サイバー攻撃者は、これらのセキュリティ対策をバイパスする方法を絶えず開発しており、そのような方法の1つには、悪意のあるAzure/O365 OAuthアプリの使用が含まれます。オーストラリア首相が報告した、政府機関や企業に対する最近の巧妙な攻撃は、この進化する脅威の状況を浮き彫りにしています。
ケーススタディ悪意のあるOffice 365 OAuthアプリ
多要素認証(MFA)は素晴らしいステップですが、予防的なコントロールを回避する方法は常に存在します。よく知られているMFA回避テクニックの1つは、悪意のあるAzure/O365 OAuthアプリのインストールです。念のために言っておくと、オーストラリア首相が最近報告した政府や企業に対する攻撃は、強力な注意喚起となる。この攻撃に関与した国家の支援を受けたアクターは、アプリのアクセス委任に使用される標準的な手法であるOAuthを活用し、Microsoft Office 365などのクラウドアカウントへの不正アクセスを行いました。
報告されているところによると、攻撃者は悪意のあるOffice 365アプリケーションを作成し、スピアフィッシングリンクの一部としてターゲットユーザーに送信した。この場合、アプリはオーストラリア政府で広く使用されている有名な電子メールフィルタリングソリューションと同様の名前が付けられている。受信すると、悪意のあるアプリは被害者に、ユーザーのアカウント内のデータへのアクセス許可を与えるよう説得する。特に、オフライン・アクセス、ユーザー・プロフィール情報、電子メールの閲覧、移動、削除などの機能が含まれる。
成功すると、攻撃者は社内のOffice 365アカウントに直接アクセスできるようになる。SharePoint、OneDrive、Exchange、およびTeamsに関連するOffice 365内で、他の社内ターゲットにフィッシングしたり、悪意のあるアクションを実行したりするための完璧なプラットフォームです。
悪質なOAuthアプリのステルス性
この種の攻撃は、エンドポイント上で悪意のあるコードを実行しないため、従来のエンドポイントセキュリティソフトウェアによる検出を回避することができ、特に狡猾です。さらに、合法的に構築された Office 365 OAuth アプリケーションは、パスワードの変更や MFA プロトコルの影響を受けずに、攻撃者にユーザーアカウントへの永続的なアクセスを提供することができます。
今後の展望と予防策
特に、Office 365 ではエンドユーザーが管理者の承認なしにアプリをインストールできるため、悪意のある OAuth アプリ攻撃の蔓延が予想されます。堅牢なサイバーセキュリティ戦略には、異常なログインの試行、不正なアプリのインストール、Office 365 のネイティブ機能の悪用などの不審なアクティビティを特定し、対応できる検出ベースのソリューションが含まれる必要があります。
Vectra CDR for Office 365 - ソリューション
このような高度な脅威に対抗するため、Vectra Cloud Detection and Response for Office 365 は特化したソリューションを提供します。潜在的なセキュリティ侵害を示すイベントの分析と関連付けに重点を置き、セキュリティチームがプロアクティブに対応できるようにします。詳細については、データシートを 参照するか、トライアルで実際に体験してください。