Back to Blog ブログ一覧へ戻る

多要素認証(MFA)だけでは不十分、

Office 365の悪質なOAuth

アプリは普及し続ける

By
Marcus Hartwig
|
June 24, 2020

多要素認証(MFA)はセキュリティ対策として有効なステップですが、それでも迂回する方法が存在してしまいます。よく知られているMFAのバイパステクニックの1つに、悪意のあるAzure/O365 OAuthアプリのインストールがあります。この問題に対して重要視していなかった人も、最近オーストラリアの首相が行った政府や企業がサイバー攻撃を受けているという発表は、強力な注意喚起となったと思います。国家ベースの攻撃者は、Microsoft Office 365などのクラウドアカウントへの不正アクセスを得るために、アプリの認証プロトコルとして使用される標準的な技術であるOAuthを悪用しているのです。報告*によると、攻撃者は悪意のあるOffice 365のアプリケーションを作成し、スピアフィッシングのリンクの一部としてターゲットユーザーに送信しました。

報告されたケースの場合、アプリは、オーストラリア政府で広く使用され、認識されているメールフィルタリングソリューションに類似した名前が付けられており、受領した被害者はユーザー情報へのアクセスを承認するように要請されました。これによって特にオフラインでのアクセス、ユーザーのプロフィール情報、電子メールの閲覧、移動、削除などが可能となってしまいます。

成功すれば攻撃者は、社内のOffice 365アカウントに直接アクセスできるようになります。社内の他のターゲットをフィッシングしたり、SharePoint、OneDrive、Exchange、TeamsなどOffice 365内で悪意のあるアクションを実行したりするのに最適なプラットフォームとなってしまいます。

このタイプの攻撃は、エンドポイント上で悪意のあるコードを実行しないため、エンドポイントのセキュリティソフトウェアが検出できるシグナルを出しません。悪意のある意図で使用されるために構築されたOffice 365アプリは、ユーザーがパスワードを変更したり、MFAを利用したとしても、攻撃者にユーザーアカウントへの永続的なアクセスを提供してしまいます。ほとんどのユーザーは、定期的にOffice 365アプリの棚卸しを行わないので、長期間、もしくはまったく気づかないことになります。

今後、この種の攻撃は増えることが予想されます。Office 365では、エンドユーザーが管理者の承認無しでアプリをインストールすることができます。より強力な対策としては、検知ベースのソリューションを実装することです。不審なログイン、悪意のあるアプリのインストール、メール転送ルール、Office 365のネイティブツールの悪用などのイベントを分析して関連付けることで、被害が出る前にセキュリティチームに警告を出すことが可能になります。Vectra Cognito for Office 365は、このような行動を検出するために構築されています。詳細については、データシートをご参照ください。またデモのご予約をご希望の方は、ご連絡ください。

* 詳細については、オーストラリア・サイバー・セキュリティ・センターのアドバイザリーやRisky.bizのニュースレター をご覧ください。