Back to Blog

Azure ADの検知が

必須である単純明快な理由

By
John Mancini
|
February 4, 2021

Azure ADとSaaSアプリケーションの認証連携の可視性のギャップを埋める

Microsoft Azure ADは、クラウドベースのアクセスとID管理です。特にリモートワーカーを始めとして、現在のビジネスに不可欠なSaaSやエンタープライズアプリケーションにアクセスするための統合されたシングルサインオンを提供します。広く浸透している理由として、Azure ADはOffice 365のIDを管理するビルトイン・ソリューションであるということが挙げられます。

パンデミックによって世界中の人の働き方がリモートへとシフトしました。その結果Azure ADの導入は爆発的に増加し、2020年末までにアクティブユーザー数が4億2500万人に達しました。企業がサインオンを簡素化し、クラウドアプリケーションやOffice 365エコシステム全体への安全なアクセスを求めてAzure ADの採用に動いたように、攻撃者もまたAzure ADの重要さに気がつき、攻撃対象として注目しています。

Azure ADの価値を高めるものとは?

単一のAzure ADアカウントを侵害することで、攻撃者はMicrosoft Office 365を含む複数のSaaSアプリケーションにまたがる大量のデータにアクセスすることができます。このような単一ポイント攻撃により他のアプリケーションに侵入して被害を受ける前に、Azure ADからの攻撃を検知して対応し、侵害を阻止することが組織にとって非常に重要になっています。

重要なAzure ADアカウントを保護するためのベストプラクティスは、強力な最新の適応型多要素認証(MFA)、パスワードレスアクセス、および場所に基づくアクセスルールでした。しかし、これらのタイプの予防策では、攻撃者を抑止し、データの保護を確実にするには十分ではありません。最近の攻撃者は、署名されたままの認証情報を悪用したり、MFA が適用できないところで認証情報を強要したり、ユーザーを騙して攻撃者が管理するOAuthアプリケーションをインストールさせたり、WS-Trust の脆弱性を悪用したり、「SAML認証」攻撃でチケットを偽造したりと、予防的な制御をあらゆる手法で迂回します。

「SAML認証」攻撃と攻撃者が予防策を回避する能力は、SunburstやSolorigateという名称のマルウェアとしても知られるSolarWindsへの攻撃においても大きな役割を果たしました。攻撃者はチケットを偽造してMFAを回避し、Azure AD環境にパーシステンスを作成してSaaSアプリケーションへのアクセスを可能にしていたのです。

SolarWindsの攻撃のように予防策を回避した場合に攻撃者が受ける影響は非常に大きいため、Vectra AIはO365とAzure ADのためにCognito Detect for Office 365を提供しています。

AIで攻撃者の振る舞いを検知

Detect for Office 365 はアカウントがどのように使用されているかを分析するために人工知能を使用しています。振る舞いベースの深い攻撃検知を提供し、Azure AD への攻撃に対する振る舞いを発見し、攻撃者が SaaS アプリケーションにアクセスする前にアカウントの乗っ取りを検知して停止させることができるのです。

Vectra AIの提供する振る舞いベースのアプローチは、シグネチャや既存のモデルへの更新を必要とせずに、SolarWinds攻撃で悪用されたすべてのテクニックを警告することができました。冗長なアクセスチャネルの作成や特権的なAzure操作の悪用など、インスタンスの振る舞をアラートすることで、Vectra AIは攻撃者の振る舞いをあらゆる段階でアラートすることができます。

Vectra AIは、10種類以上の独自のAzure AD検知と20種類以上のOffice 365固有の検知モデルにより、SolarWinds、今後起こりうるサプライチェーン攻撃、SaaSアプリケーションに対する振る舞いをカバーしています。イベントは決して単独ではなく、文脈に沿った相関関係を持ち、攻撃者の振る舞いを効率的かつ効果的に優先順位付けすることができます。

アクセスするためのゼロトラストフレームワークへの移行は、Azure ADの重要性と、効果的な検知と対応のためのAzure ADの可視性の必要性を高めるだけです。

VectraによってSolarWindsと同様の攻撃をどのように検知し、阻止することができるかについての詳細は、攻撃に関する当社の調査結果(英語)をお読みいただくか、2021年2月25日(日本時間 10 am)に開催されるウェビナー「SolarFlareの分析と 未来を見極める方法 サプライチェーンのセキュリティ侵害」にご参加ください。

*本ウェビナーは英語での開催となります。