Microsoft の脅威アナリストは、OAuth 要求リンクを悪用して受信者をだまして攻撃者が所有するアプリに機密データへのアクセス許可を付与しようとする同意フィッシング メール ( 違法な同意付与とも呼ばれます) の継続的な増加を追跡しています。
このブログでは、初期の攻撃ベクトルとしての同意フィッシング メールの現状と、Microsoft Defender for Office 365 などの高度なソリューションを使用してセキュリティ管理者がこれらの脅威を防止、検出、対応するためにできることについて説明します。ユーザーは、ユーザーの正当なクラウド サービスにアクセスするために、悪意のあるクラウド アプリにアクセス許可を付与する必要があります。同意画面には、アプリが受け取るすべての権限が表示されます。また、クラウド サービスは正当であるため、疑いを持たないユーザーが条件に同意するか、「Enter」キーを押すと、悪意のあるアプリに要求されたアクセス許可が付与されます。
同意フィッシング攻撃はフィッシングの特殊な形態であるため、包括的な多層防御が必要です。システム管理者は、アプリと、これらのアプリが環境内で持つアクセス許可を可視化して制御することが重要です。 Azure Active Directory の同意ポリシーを使用したユーザーの同意設定により、管理者は、エンド ユーザーがアプリに同意を付与できるタイミングを管理できます。 Microsoft Defender for Cloud Apps (以前の Microsoft Cloud App Security) の新しいアプリ ガバナンス アドオン機能は、アプリが異常な動作を示したときに組織がすばやく特定できるようにするための可視性を提供します。
マイクロソフトは、COVID-19 パンデミックの発生時に多くの組織がリモート ワーカーに移行したため、これらのアプリケーション ベースの攻撃に対して以前に警告を発しました。 Microsoft の Digital Crimes Unit (DCU) も過去に、特定の同意フィッシング キャンペーンに使用されるサイバー犯罪インフラストラクチャを妨害するための措置を講じてきました。
同意フィッシング攻撃の状況
同意フィッシング攻撃は、OAuth 2.0 認証を使用する Microsoft、Google、Facebook などの正規のクラウド サービス プロバイダーを悪用します。OAuth 2.0 認証は、サードパーティ アプリがユーザーのアカウントにアクセスし、ユーザーに代わってアクションを実行できるようにする、広く使用されている業界プロトコルです。
これらの攻撃の目的は、疑いを持たないユーザーをだまして、悪意のある攻撃者が所有するアプリケーションにアクセス許可 (同意) を付与することです。これは、認証情報を盗もうとする攻撃者が説得力のある電子メールを作成し、偽のランディング ページをホストし、ユーザーが誘惑に陥ることを期待する典型的な認証情報収集攻撃とは異なります。試行が成功すると、ユーザー資格情報が攻撃者に渡されます。
同意フィッシング攻撃では、偽のサインイン ページではなく、正当な ID プロバイダーでユーザーのサインインが行われ、悪意のある攻撃者が制御するアプリケーションにユーザーをだまして権限を付与させようとします。攻撃者は、取得したアクセス トークンを使用して、ユーザーがそれ以上の操作を行うことなく、API リソースからユーザーのアカウント データを取得します。アクセス許可を付与した対象ユーザーは、攻撃者が制御するアプリを通じて、攻撃者に代わって API 呼び出しを行うことができます。付与されたアクセス許可に応じて、アクセス トークンを使用して、ファイル、連絡先、その他のプロファイルの詳細など、他のデータにアクセスすることもできます。
Microsoft Defender for Office 365 のデータは、ここ数か月でこの手法の使用が増加していることを示しています。
図 1. 2020 年 10 月以降の OAuth フィッシング URL の傾向
ほとんどの場合、アクセス トークンはユーザーのパスワードの知識を必要としないため、同意フィッシング攻撃にはパスワードの盗難は含まれませんが、それでも攻撃者は機密データやその他の機密情報を盗むことができます。その後、攻撃者は標的の組織で持続性を維持し、偵察を実行してネットワークをさらに侵害することができます。
典型的な同意フィッシング攻撃は、次の攻撃チェーンに従います。
図 2. 同意フィッシング攻撃の流れ
攻撃者は通常、アプリを信頼できるように設定し、「Enable4Calc」、「SettingsEnabler」、「Settings4Enabler」などの名前を使用して登録します。これは、合法的なビジネス生産性アプリの統合に似ています。その後、攻撃者は、他の考えられる手法の中でもとりわけ、従来の電子メールベースのフィッシング攻撃を介して OAuth 2.0 URL を配布します。
URL をクリックすると、正規の同意プロンプトがトリガーされ、ユーザーに悪意のあるアプリのアクセス許可を付与するよう求められます。 Google、Facebook、Twitter などの他のクラウド プロバイダーは、サードパーティ アプリに代わってユーザーのアクセス許可を要求する同意プロンプトまたはダイアログ ボックスを表示します。要求される権限は、アプリによって異なります。
図 3. OAuth アプリは、サードパーティが要求しているパーミッションを示す「パーミッションが要求されました」ダイアログを表示することでパーミッションを取得します
ユーザーが「同意する」または「許可する」をクリックすると、アプリは認証コードを取得し、それをアクセス トークンと交換します。このアクセス トークンは、ユーザーに代わって API 呼び出しを行うために使用され、攻撃者がユーザーのメール、転送ルール、ファイル、連絡先、その他の機密データやリソースにアクセスできるようになります。
同意フィッシング キャンペーン: ケース スタディ
私たちが追跡した最近の同意フィッシング攻撃では、ソーシャル エンジニアリング手法を使用して、ビジネス成長ソリューション企業になりすましたメールを作成していました。このメッセージは、ドキュメントを確認して署名するようにユーザーに指示していると偽って主張し、ユーザーに切迫感を与えています。これは、ほとんどのフィッシング メールに見られる手口です。
図 4. Review Doc(s) & Sign リンクが OAuth URL を指す電子メール キャンペーンの例
この電子メール キャンペーンには、ブランドのなりすまし、受信者または組織に固有のパーソナライズされた電子メール テキスト、およびソーシャル エンジニアリングのルアーとして認識できる切迫感など、いくつかのフィッシング手法があります。
この攻撃が他の攻撃と異なるのは、OAuth URL が悪意のあるコンテンツを提供する方法です。電子メールの受信者には、「Review Doc(s) & Sign」OAuth URL は正当に見えますが、URL は ID プロバイダーの URL でフォーマットされています。
この例で確認したパターンでは、OAuth URL が「login.microsoftonline.com」として表示されます。 Google などの他のプロバイダーも、同様の方法で OAuth URL をフォーマットします。
図 5. 攻撃者のドメインを指す OAuth URL で観察されたパターン
最近の OAuth の悪用の傾向を考慮して、従来のセキュリティ対策を超えて、この重大な脅威を調査し、防止することを組織に推奨します。
Microsoft が同意フィッシングに対して包括的で調整された防御を提供する方法
同意フィッシング攻撃に代表される高度で動的な脅威の状況は、多層防御アーキテクチャを備えたゼロ トラスト セキュリティ モデルを採用することの重要性を示しています。
Microsoft 365 Defenderは、 Microsoft Defender for Office 365 、 Microsoft Defender for Cloud Apps 、 Azure Active Directoryなどの複数のソリューションを使用してドメイン全体で防御を調整することにより、同意フィッシングに対する包括的な保護を提供します。
Azure AD ユーザーの同意設定を使用して、違法なアプリの同意を防ぐ
Microsoft ID プラットフォームは、いくつかの方法で同意フィッシングを防止するのに役立ちます。
リスクベースのステップアップ同意により、Azure Active Directory (Azure AD) は、エンド ユーザーが潜在的にリスクがあると見なされるアプリに同意を与えることをブロックします。たとえば、パブリッシャーによって検証されていない新しく登録されたマルチテナント アプリは危険であると見なされる可能性があり、エンド ユーザーが OAuth フィッシング URL にアクセスしたとしても、同意を与えることはできません。
Azure AD を使用すると、管理者はユーザーがいつアプリに同意を与えることができるかを制御できます。これは、そもそも脅威を防止するための強力なメカニズムであり、Microsoft は、ユーザーがいつ同意できるかについて組織が設定を確認することをお勧めします。 Microsoft は、ユーザーが検証済みの発行元からのアプリにのみ同意し、選択されたリスクの低いアクセス許可についてのみ許可される、すぐに使用できるオプションを選択することをお勧めします。さらに細分化するために、管理者はカスタムの同意ポリシーを作成することもできます。これは、特定のアプリ、発行元、またはアクセス許可など、ユーザーが同意を許可できるようにするための条件を決定します。
Microsoft Defender for Office 365 で同意フィッシング メールをブロックする
Microsoft Defender for Office 365 は、機械学習、IP および URL レピュテーション システム、比類のない幅広いシグナルに支えられた高度なフィルタリング テクノロジを使用して、フィッシングやその他の悪意のある電子メールに対する永続的な保護を提供し、同意フィッシング キャンペーンを最初からブロックするのに役立ちます。 Defender for Office 365 のフィッシング対策ポリシーは、 偽装ベースのフィッシング攻撃から組織を保護するのに役立ちます。
Microsoft の研究者は、OAuth 2.0 の URL 手法を常に追跡しており、この知識を使用して電子メール フィルタリング システムにフィードバックを提供しています。これにより、Microsoft Defender for Office 365 が最新の OAuth フィッシング攻撃やその他の脅威から確実に保護されます。 Microsoft Defender Office 365 からの信号は、悪意のあるアプリを特定し、ユーザーがそれらにアクセスするのを防ぐのに役立ち、組織が高度なハンティング機能を使用してクエリおよび調査できる豊富な脅威データを提供します。
Microsoft Defender for Cloud Apps を使用して悪意のあるアプリを特定する
Microsoft Defender for Cloud Apps ポリシー (アクティビティ ポリシー、異常検出、 OAuth アプリ ポリシーなど) は、組織が環境に接続されたアプリを管理するのに役立ちます。 Microsoft Defender for Cloud Apps の新しいアプリ ガバナンス アドオン機能は、組織に役立ちます。
- データ、ユーザー、その他のアプリで適切な Microsoft 365 アプリの動作を定義する
- ベースラインとは異なる異常なアプリの動作アクティビティをすばやく検出し、
- 予想とは異なる動作をするアプリを無効にする
図 6. Microsoft 365 Compliance のアプリ ガバナンス
組織とユーザーが Microsoft 365 エコシステムでアプリを使用することに自信を持てるようにするために、 Microsoft 365 アプリ コンプライアンス プログラムにより、アプリ開発者はアプリケーションの信頼性を確立できます。このプログラムには、 発行元の検証、発行元の証明、および Microsoft 365 認定が含まれています。
同意フィッシング攻撃の調査と追跡
セキュリティ運用チームは、Microsoft 365 Defender の高度な検索機能を使用して、同意フィッシング メールやその他の脅威を見つけることができます。 Microsoft 365 Defender は、Microsoft Defender for Office 365 からの電子メール脅威データ、Microsoft Defender for Cloud Apps からのアプリ シグナル、および他の Microsoft サービスからのインテリジェンスを統合および関連付けて、攻撃の包括的なエンド ツー エンド ビューを提供します。セキュリティ運用チームは、Microsoft 365 Defender の豊富なツールを使用して、攻撃を調査および修復できます。
OAuth URL パターンが通常とは異なる TLD を持つドメインにリダイレクトされる
このブログで説明した同意フィッシング キャンペーンでは、攻撃者のインフラストラクチャとの通信にさまざまな珍しい TLD が使用されていました。以下のクエリを使用して、疑わしい OAuth パターンを含む受信メールを見つけます。提案された TLD は、当社の調査に基づいています。セキュリティ チームは、TLD を変更して検索を拡張できます。 Microsoft 365 Defender でクエリを実行します。
let UnusualTlds = pack_array('.uno','.host','.site','.tech','.website','.space','.online');
EmailUrlInfo
| where Url startswith "https://login.windows.net/common/oauth2" or Url startswith "https://login.microsoftonline.com/consumers/oauth2"
| where Url has "redirect_uri"
| where Url has_any(UnusualTlds)
| join EmailEvents on $left.NetworkMessageId == $right.NetworkMessageId
| where EmailDirection == "Inbound"
同意フィッシングから組織を保護するためのベスト プラクティス
管理者は、Microsoft 365 および Microsoft Azure で利用できるツールを最大限に活用するだけでなく、次の対策を講じることで、同意フィッシングに対する防御をさらに強化できます。
- ユーザーの同意設定を構成して、特定の低リスクのアクセス許可について、検証済みの発行元からのアプリに対するユーザーの同意のみを許可します。
- セキュリティ トレーニングの一環として、同意フィッシング戦術に関するエンド ユーザーの認識を高めます。トレーニングには、フィッシング メールやアプリケーションの同意画面のスペルや文法の誤り、および正規のアプリケーションや企業から送信されたように見せかけたなりすましのアプリ名やドメイン URL のチェックが含まれる必要があります。
- アクセス許可と同意のフレームワークがどのように機能するかについて、組織を教育します。アプリケーションが要求するデータとアクセス許可を理解し、プラットフォーム内でアクセス許可と同意がどのように機能するかを理解します。管理者が同意要求を管理および評価し、危険な OAuth アプリケーションを調査および修正する方法を理解していることを確認します。
- 組織内のアプリと同意済みのアクセス許可を監査して、使用されているアプリケーションが必要なデータのみにアクセスし、最小特権の原則に従っていることを確認します。
- Microsoft 365 プラットフォームでサード パーティのアプリの動作を監視するプロアクティブなアプリ ガバナンス ポリシーを作成します。これは、ポリシー主導型および機械学習によって開始された修復が、一般的な脅威シナリオと新たな脅威シナリオの両方でアプリの動作に対処するためです。
その他のリソース
Microsoft Defender for Cloud Apps のアプリ ガバナンス アドオン機能は、最初は北米とヨーロッパの既存の Microsoft Defender for Cloud Apps のお客様向けのパブリック プレビューとして利用でき、他の地域は今後数か月かけて徐々に追加されます。
アプリ ガバナンスを開始するには、クイック スタート ガイドにアクセスしてください。アプリ ガバナンスの詳細については、ドキュメントを参照してください。 Microsoft 365 コンプライアンス センターでアプリ ガバナンス ポータルを起動するには、 https://aka.ms/appgovernanceに移動します。
Azure AD でユーザーの同意とアプリのアクセス許可を構成および管理する方法については、ドキュメントを参照してください。 Microsoft Defender for Cloud Apps の詳細については、ブログとMicrosoft Defender for Cloud Apps の説明ビデオを参照してください。
Comments