コンセントフィッシング攻撃(Consent Phishing Attack)の急増

2021年8月17日時点でまだ日本では聞きなれないサイバー攻撃だと思います。一方でMicrosoft 365 Defender Threat Intelligence Teamによれば、OAuthリクエストリンクを悪用するコンセントフィッシング攻撃(メール)が観測されています。

背景としては、様々なクラウドサービスによって利用されるOAuthがリモートワークの拡大によってサイバー攻撃の標的となったと感じます。

OAuth phishing URL trend from October 2020
出典:Microsoft 365 Defender Threat Intelligence Team

これが実際のコンセントフィッシングメールのサンプルです。

OAuthURLを含むドキュメントと署名リンクを含むサンプルの電子メール
出典:Microsoft 365 Defender Threat Intelligence Team

不正なOAuthリクエストは正規のOAuth 2.0認証を使用するため、なかなか見分けがつきません。

OAuthアプリは、サードパーティが要求しているアクセス許可を示す[要求されたアクセス許可]ダイアログを表示することでアクセス許可を取得します
出典:Microsoft 365 Defender Threat Intelligence Team

目的

コンセントフィッシング攻撃は、ユーザーをだまして悪意のあるクラウドアプリにアクセス許可を与え、正当なクラウドサービスにアクセスすることを目的としています。同意画面には、アプリへ許可する権限が表示されます。OAuth 2.0認証を使用するMicrosoft、Google、Facebookなどの正当なクラウドサービスプロバイダーを悪用します。疑いを持たないユーザーは利用規約に同意するか「Enter」キーを押して、悪意のあるアプリに要求された権限を付与します。

攻撃

攻撃者は、取得したアクセストークンを使用して、ユーザーがそれ以上アクションを実行することなく、APIリソースからユーザーのアカウントデータを取得します。権限を付与するターゲットユーザーは攻撃者が制御するアプリを介して、自分に代わってAPI呼び出しを行うことを許可します。付与された権限に応じて、アクセストークンを使用して、ファイル、連絡先、その他のプロファイルの詳細などの他のデータにアクセスすることもできます。
アクセストークンはユーザーのパスワードの知識を必要としないため、ほとんどの場合、同意フィッシング攻撃にはパスワードの盗難は含まれませんが、攻撃者は機密データやその他の機密情報を盗むことができます。その後、攻撃者は標的組織での永続性を維持し、偵察を実行してネットワークをさらに侵害する可能性があります。

多くのコンセントフィッシングは次の攻撃チェーンに従います。

コンセントフィッシング攻撃フロー
出典:Microsoft 365 Defender Threat Intelligence Team

対策

同意フィッシングから組織を保護するためのベストプラクティス

  • 特定の低リスクの権限について、確認済みのパブリッシャーからのアプリのユーザー同意のみを許可するようにユーザー同意設定を構成します
  • セキュリティトレーニングの一環として、コンセントフィッシングに関するエンドユーザーの意識を高めます。トレーニングには、フィッシングメールやアプリケーションの同意画面のスペルや文法の誤り、および正規のアプリケーションや企業からのものであるように見せかけられた偽装アプリ名やドメインURLのチェックを含める必要があります。
  • 権限と同意のフレームワークがどのように機能するかについて組織を教育します。アプリケーションが要求しているデータとアクセス許可を理解し、アクセス許可と同意がプラットフォーム内でどのように機能するかを理解します。管理者が同意要求を管理および評価し、危険なOAuthアプリケーションの調査および修正する方法を確認します。
  •  組織内のアプリと同意された権限を監査して、使用されているアプリケーションが必要なデータのみにアクセスし、最小特権の原則を遵守していることを確認します。
  • ポリシー主導型および機械学習によって開始される修復は、一般的な脅威シナリオと新たな脅威シナリオの両方のアプリ動作に対処するため、Microsoft365プラットフォームでのサードパーティアプリの動作を監視するプロアクティブなアプリガバナンスポリシーを作成します。

Microsoft 365 およびMicrosoftAzureの場合、次の対策に従うことでコンセントフィッシングに対する防御をさらに強化できます。

Microsoft 365 Defender Threat Intelligence Teamによれば、多層防御アーキテクチャを備えたゼロトラストセキュリティモデルを採用することの重要性を挙げられています。

  • AzureADユーザーの同意設定を使用して不正なアプリの同意を防止する

Azure Active Directory(Azure AD)は、エンドユーザーが潜在的にリスクがあると見なされるアプリに同意を付与できないようにします。検証済みの発行元からのアプリへの同意のみを許可され、選択された低リスクのアクセス許可に対してのみ許可することや、さらに細かく特定のアプリ、パブリッシャー、アクセス許可など、カスタム同意ポリシーを作成することもできます。

  • Microsoft Defender for Office365を使用したコンセントフィッシングメールのブロック

Microsoft Defenderが持つ機械学習、IPおよびURLレピュテーションシステム、及び高度なフィルタリングテクノロジーを使用して、フィッシングやその他の悪意のある電子メールに対する保護。悪意のあるアプリを特定し、ユーザーがそれらにアクセスするのを防ぐのに役立ち、高度なハンティング機能を使用してクエリおよび調査できる豊富な脅威データを提供しています。

  • Microsoft Cloud AppSecurityを使用して悪意のあるアプリを特定する

アクティビティポリシー異常検出OAuthアプリポリシーなどのMicrosoft Cloud App Securityポリシーは、組織で利用するアプリを管理するのに役立ちます。Microsoft Cloud App Securityの新しいアプリガバナンスアドオン機能が組織を支援します。例えばデータ、ユーザー、アプリに対して、適切なMicrosoft365アプリの動作を定義。ベースラインとは異なる異常なアプリの動作アクティビティをすばやく検出し、予想とは異なる動作をする場合はアプリを無効にします。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ