OAuthは、アプリにおけるアクセス委譲のための重要な標準となっている。しかし、特にOffice 365のようなプラットフォームにおいて、悪意のあるOAuthアプリに関わるインシデントが増加しており、重大な脆弱性が浮き彫りになっている。この脆弱性は、多要素認証 (MFA)対策が施されていても存続する。
OAuthサイバーセキュリティにおけるMFAの限界
多要素認証(MFA)はオンラインアカウントの安全性を確保するための重要なステップですが、万全ではありません。サイバー攻撃者は、これらのセキュリティ対策をバイパスする方法を絶えず開発しており、そのような方法の1つには、悪意のあるAzure/O365 OAuthアプリの使用が含まれます。オーストラリア首相が報告した、政府機関や企業に対する最近の巧妙な攻撃は、この進化する脅威の状況を浮き彫りにしています。
ケーススタディ悪意のあるOffice 365 OAuthアプリ
多要素認証(MFA)は素晴らしいステップですが、予防的なコントロールを回避する方法は常に存在します。よく知られているMFA回避テクニックの1つは、悪意のあるAzure/O365 OAuthアプリのインストールです。念のために言っておくと、オーストラリア首相が最近報告した政府や企業に対する攻撃は、強力な注意喚起となる。この攻撃に関与した国家の支援を受けたアクターは、アプリのアクセス委任に使用される標準的な手法であるOAuthを活用し、Microsoft Office 365などのクラウドアカウントへの不正アクセスを行いました。
報告によると、攻撃者は悪意のある Office 365 アプリケーションを作成し、スピアフィッシング リンクの一部としてターゲット ユーザーに送りつけます。このアプリは正規のものに見せかけられており、この場合、アプリの名前はオーストラリア政府で広く使用されている有名な電子メール フィルタリングソリューションに似ています。悪意のあるアプリは、受け取った被害者にユーザーアカウントのデータにアクセスする許可を与えるよう仕向けます。特に、オフライン アクセス、ユーザープロファイル情報、電子メールの読み取り、移動、削除などの権限が与えられます。
成功すると、攻撃者は社内のOffice 365アカウントに直接アクセスできるようになる。SharePoint、OneDrive、Exchange、およびTeamsに関連するOffice 365内で、他の社内ターゲットにフィッシングしたり、悪意のあるアクションを実行したりするための完璧なプラットフォームです。
悪質なOAuthアプリのステルス性
この種の攻撃は、エンドポイント上で悪意のあるコードを実行しないため、従来のエンドポイントセキュリティソフトウェアによる検出を回避することができ、特に狡猾です。さらに、合法的に構築された Office 365 OAuth アプリケーションは、パスワードの変更や MFA プロトコルの影響を受けずに、攻撃者にユーザーアカウントへの永続的なアクセスを提供することができます。
今後の展望と予防策
特に、Office 365 ではエンドユーザーが管理者の承認なしにアプリをインストールできるため、悪意のある OAuth アプリ攻撃の蔓延が予想されます。堅牢なサイバーセキュリティ戦略には、異常なログインの試行、不正なアプリのインストール、Office 365 のネイティブ機能の悪用などの不審なアクティビティを特定し、対応できる検出ベースのソリューションが含まれる必要があります。
Vectra Office 365用CDR - ソリューション
このような高度な脅威に対抗するため、Vectra Cloud Detection and Response for Office 365 は特化したソリューションを提供します。潜在的なセキュリティ侵害を示すイベントの分析と関連付けに重点を置き、セキュリティチームがプロアクティブに対応できるようにします。詳細については、データシートを 参照するか、トライアルで実際に体験してください。