リスクとは
Azure AD Identity Protection のリスク検出には、ディレクトリ内のユーザー アカウントに関して識別された疑わしいアクションが含まれます。 リスクの検出 (ユーザーとサインイン関連の両方) は、危険なユーザーのレポートに含まれるユーザー リスク スコア全体に影響を与えます。
Identity Protection を使用すると、組織は、強力なリソースにアクセスして、これらの疑わしいアクションをすばやく確認して対応できます。
Note
Identity Protection では、正しい資格情報が使用されている場合にのみ、リスク検出を生成します。 サインイン時に間違った資格情報が使用されている場合に、資格情報の侵害のリスクを示すものではありません。
リスクの種類と検出
リスクは、ユーザーとサインイン レベルで検出でき、2 種類の検出または計算方法 (リアルタイムとオフライン) があります。 一部のリスクは、Azure AD Premium P2 のお客様のみが検出できるプレミアムと見なされ、その他は Free および Azure AD Premium P1 のお客様が検出できます。
サインイン リスクは、特定の認証要求が ID 所有者によって承認されていない可能性があることを表します。 ユーザー関連の危険なアクティビティでは、特定の悪意のあるサインインではなく、ユーザーそのものに関連するものを検出します。
リアルタイム検出は、5 から 10 分間レポートに表示されない場合があります。 オフライン検出は、48 時間レポートに表示されない場合があります。
注意
リスクのあるユーザーのリスク スコアに影響を与えたリスク イベントが次のいずれかであったことがシステムによって検出される場合があります。
- 偽陽性
- 次のいずれかによって、ポリシーでユーザー リスクが修復されました。
- 多要素認証の完了
- セキュリティで保護されたパスワード文字列。
リスクの状態は無視され、「AI によってサインインが安全であることが確認されました」というリスクの詳細が表示されます。また、ユーザーの全体的なリスクには影響しなくなります。
Premium 検出
Premium 検出は、Azure AD Premium P2 のお客様にのみ表示されます。 Azure AD Premium P2 ライセンスをお持ちでないお客様も Premium 検出を受け取りますが、"検出された追加のリスク" というタイトルになります。
サインイン リスク
Premium のサインイン リスク検出
| リスク検出 | 検出の種類 | 説明 |
|---|---|---|
| 特殊な移動 | オフライン | このリスク検出の種類では、地理的に離れた場所で行われた 2 つのサインインを識別します。少なくとも 1 つの場所は、ユーザーの過去の行動から考えて、ユーザーにそぐわない可能性がある場所でもあります。 このアルゴリズムでは、2 回のサインインの間隔や、最初の場所から 2 回目の場所にユーザーが移動するのに要する時間など、複数の要因が考慮されます。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。 このアルゴリズムは、組織内の他のユーザーによって普通に使用される VPN や場所など、不可能な移動状況の原因になる明らかな "誤検知" を無視します。 システムには、最短で 14 日間または 10 回のログインの初期学習期間があり、その間に新しいユーザーのサインイン行動が学習されます。 |
| 異常なトークン | オフライン | これが検出されたことは、通常とは異なるトークンの有効期間や、これまでと違う場所から再生されるトークンなど、トークンに異常な特性があることを示しています。 この検出には、セッション トークンと更新トークンが含まれます。 注: 異常なトークンは、同じリスク レベルの他の検出よりも多くのノイズが発生するように調整されます。 このトレードオフは、他の方法では見過ごされる可能性のある再生されたトークンを検出する可能性を高めるために選択されています。 これは高ノイズの検出なので、この検出によってフラグが設定されたセッションの一部が誤検知である可能性が通常よりも高くなります。 この検出によってフラグが設定されたセッションを、ユーザーからの他のサインインのコンテキストで調査することをお勧めします。 場所、アプリケーション、IP アドレス、ユーザー エージェント、またはその他の特性が、ユーザーにとって予期しないものである場合、テナント管理者はこのリスクを潜在的なトークン再生のインジケーターと見なす必要があります。 |
| トークン発行者の異常 | オフライン | このリスクの検出は、関連する SAML トークンの SAML トークン発行者が侵害された恐れがあることを意味しています。 トークンに含まれるクレームが、通常とは異なるか、既知の攻撃者パターンと一致しています。 |
| マルウェアにリンクした IP アドレス | オフライン | このリスク検出の種類は、ボット サーバーと活発に通信していることが判明している、マルウェアに感染した IP アドレスからのサインインを示します。 この検出により、ユーザーのデバイスの IP アドレスが、ボット サーバーがアクティブなときにボット サーバーと接触していた IP アドレスと照合されます。 この検出は非推奨になりました 。 Identity Protection では、新しい "マルウェアにリンクした IP アドレス" 検出が生成されなくなります。 現在、テナントに "マルウェアにリンクした IP アドレス" の検出が設定されているお客様は、90 日の検出データ保有期間に達するまで、それらを表示、修復、または無視することができます。 |
| 疑わしいブラウザー | オフライン | 不審なブラウザー検出は、同じブラウザー内の異なる国の複数のテナントにわたる疑わしいサインイン アクティビティに基づく異常な動作を示します。 |
| 通常とは異なるサインイン プロパティ | リアルタイム | このリスク検出の種類では、過去のサインイン履歴を考慮して異常なサインインを探します。システムによって、以前のサインインに関する情報が保存され、そのユーザーになじみのないプロパティでサインインが発生したときにリスク検出がトリガーされます。 これらのプロパティには、IP、ASN、場所、デバイス、ブラウザー、テナント IP サブネットが含まれます。 新しく作成されたユーザーは、"学習モード" 期間に置かれ、そのユーザーの行動がアルゴリズムによって学習される間、見慣れないサインイン プロパティのリスク検出は停止されます。 学習モードの期間は動的であり、ユーザーのサインイン パターンに関する十分な情報をアルゴリズムが収集するためにかかる時間によって決まります。 最小期間は 5 日です。 無活動状態が長期間続いた場合、ユーザーは学習モードに戻る可能性があります。 この検出は、基本認証 (または従来のプロトコル) に対しても実行されます。 これらのプロトコルには、クライアント ID などの最新のプロパティがないため、誤検知を減らすためのテレメトリが限られています。 お客様には、最新の認証に移行することをお勧めしています。 通常とは異なるサインイン プロパティは、対話型サインインと非対話型サインインの両方で検出できます。この検出が非対話型サインインで行われた場合、トークン リプレイ攻撃のリスクがあるため精査を増やす必要があります。 |
| 悪意のある IP アドレス | オフライン | この検出は、悪意のある IP アドレスからのサインインを示します。 IP アドレスは、その IPアドレスまたはその他の IP 評価ソースから受信した無効な資格情報によるエラー率の高さに基づいて、悪意があるとみなされます。 |
| 受信トレイに対する疑わしい操作ルール | オフライン | この検出は、Microsoft Defender for Cloud Apps によって検出されます。 ユーザーの受信トレイでメッセージまたはフォルダーを削除または移動する疑わしいルールが設定されている場合、この検出によって環境が調べられ、アラートがトリガーされます。 この検出は、ユーザー アカウントが侵害されていること、メッセージが意図的に非表示にされていること、組織内でスパムまたはマルウェアを配信するためにメールボックスが使用されていることを示唆している可能性があります。 |
| パスワード スプレー | オフライン | パスワード スプレー攻撃とは、複数のユーザー名に対し、よく使われるパスワードを片っ端から試して不正アクセスしようとする攻撃です。 このリスク検出は、パスワード スプレー攻撃が成功したときにトリガーされます。 たとえば、攻撃者は検出されたインスタンスで正常に認証されます。 |
| あり得ない移動 | オフライン | この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出では、地理的に離れている場所で、最初の場所から 2 番目の場所に移動するのに要する時間より短い時間内に発生したユーザー アクティビティ (単一または複数のセッションにおける) を特定します。 このリスクは、別のユーザーが同じ資格情報を使用していることを示している場合があります。 |
| 初めての国 | オフライン | この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出では、新しい場所や頻度の低い場所を判断する際に、過去にアクティビティが発生した場所が考慮されます。 異常検出エンジンにより、組織内のユーザーが以前に使用したことのある場所に関する情報が格納されます。 |
| 匿名 IP アドレスからのアクティビティ | オフライン | この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出は、匿名プロキシ IP アドレスとして識別された IP アドレスからユーザーがアクティブだったことを示します。 |
| 受信トレイからの疑わしい転送 | オフライン | この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出は、ユーザーがすべてのメールのコピーを外部のアドレスに転送する受信トレイ ルールを作成した場合などの疑わしいメール転送ルールを探します。 |
| 機密ファイルへの大量アクセス | オフライン | この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出は、ユーザーが Microsoft SharePoint または Microsoft OneDrive から複数のファイルにアクセスするときに、環境を調べて、アラートをトリガーします。 アラートがトリガーされるのは、アクセスされるファイルの数がこのユーザーにとって一般的ではなく、ファイルに機密情報が含まれている可能性がある場合のみです。 |
Premium 以外のサインイン リスク検出
| リスク検出 | 検出の種類 | 説明 |
|---|---|---|
| 検出された追加のリスク | リアルタイムまたはオフライン | この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Azure AD Premium P2 のお客様にのみ表示されるため、P2 ライセンスをお持ちでないお客様には [検出された追加のリスク] というタイトルが付けられます。 |
| 匿名 IP アドレス | リアルタイム | このリスク検出の種類は、匿名の IP アドレス (Tor ブラウザーや Anonymizer VPN など) からのサインインを示します。 これらの IP アドレスは、一般に、悪意のある可能性がある意図のためにサインイン情報 (IP アドレス、場所、デバイスなど) を隠したいアクターによって使用されます。 |
| ユーザーに対するセキュリティ侵害を管理者が確認しました | オフライン | この検出は、管理者が "危険なユーザー" UI で、または riskyUsers API を使用して、[ユーザーに対するセキュリティ侵害を確認しますか?] を選択したことを示します。 このユーザーに対するセキュリティが侵害されたことを確認した管理者を調べるには、ユーザーのリスク履歴を (UI または API 経由で) 確認します。 |
| Azure AD 脅威インテリジェンス | オフライン | このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。 |
ユーザー関連の検出
Premium のユーザー リスク検出
| リスク検出 | 検出の種類 | 説明 |
|---|---|---|
| プライマリ更新トークン (PRT) へのアクセス試行の可能性 | オフライン | このリスク検出の種類は、Microsoft Defender for Endpoint (MDE) によって検出されます。 プライマリ更新トークン (PRT) は、Windows 10、Windows Server 2016 以降のバージョン、iOS、Android デバイスでの Azure AD 認証のキー アーティファクトです。 PRT は、それらのデバイスで使用されるアプリケーション間でシングル サインオン (SSO) を有効にするために、Microsoft のファースト パーティ トークン ブローカーに対して特別に発行される JSON Web トークン (JWT) です。 攻撃者は、このリソースにアクセスして、組織への侵入や資格情報の盗難を試みる可能性があります。 これが検出されると、ユーザーが高いリスクに移行され、MDE が展開されている組織でのみ実行されます。 この検出は少なく、ほとんどの組織ではあまり見られないものです。 ただし、これが発生した場合は、リスクが高く、ユーザーを修復する必要があります。 |
| 異常なユーザー アクティビティ | オフライン | このリスク検出では、Azure AD での通常の管理ユーザーの動作がベースライン化され、ディレクトリに対する疑わしい変更などの異常な動作パターンが検出されます。 検出は、変更を行った管理者または変更されたオブジェクトに対してトリガーされます。 |
| ユーザーからの疑わしいアクティビティの報告 | オフライン | このリスクの検出は、多要素認証 (MFA) のプロンプトを拒否し、それを疑わしいアクティビティと報告したユーザーから報告されます。 MFA のプロンプトがユーザーによって開始されたものでない場合は、ユーザーの資格情報が侵害されたことを意味する可能性があります。 |
Premium 以外のユーザー リスク検出
| リスク検出 | 検出の種類 | 説明 |
|---|---|---|
| 検出された追加のリスク | リアルタイムまたはオフライン | この検出は、Premium 検出のいずれかが検出されたことを示します。 Premium 検出は Azure AD Premium P2 のお客様にのみ表示されるため、P2 ライセンスをお持ちでないお客様には [検出された追加のリスク] というタイトルが付けられます。 |
| 漏洩した資格情報 | オフライン | このリスク検出の種類は、ユーザーの有効な資格情報が漏洩したことを示します。 サイバー犯罪者は、正規ユーザーの有効なパスワードを侵害した場合、その資格情報を共有することがよくあります。 この共有は、一般に、闇サイトや貼り付けサイトに公開したり、資格情報を闇市場で取引したり販売したりすることで行われます。 Microsoft の漏洩した資格情報サービスで、闇サイト、貼り付けサイト、またはその他のソースからユーザー資格情報が取得された場合は、有効な一致を見つけるために Azure AD ユーザーの現在の有効な資格情報に対してチェックされます。 漏洩した資格情報の詳細については、「一般的な質問」を参照してください。 |
| Azure AD 脅威インテリジェンス | オフライン | このリスク検出の種類は、ユーザーにとって通常とは異なる、または既知の攻撃パターンと一致する、ユーザー アクティビティを示します。 この検出は、Microsoft の内部および外部の脅威インテリジェンス ソースに基づきます。 |
一般的な質問
リスク レベル
Identity Protection では、リスクを低、中、高の 3 つのレベルに分類します。 ID 保護ポリシーを構成する場合に、リスクなしレベルでトリガーされるように構成することもできます。 リスクなしは、ユーザーの ID が侵害されたことを示すアクティブな通知がないことを意味します。
Microsoft では、リスクの計算方法に関する具体的な詳細は提供していません。 リスクのレベルごとに、ユーザーまたはサインインがセキュリティ侵害されているという信頼度が高くなります。 たとえば、見慣れないサインイン プロパティのインスタンスが 1 つあるといったことは、資格情報の漏洩ほど脅威的ではない可能性があります。
パスワード ハッシュの同期
資格情報漏洩などのリスク検出では、検出を行うため、パスワード ハッシュが存在する必要があります。 パスワード ハッシュ同期について詳しくは、「Azure AD Connect 同期を使用したパスワード ハッシュ同期の実装」の記事をご覧ください。
無効なユーザー アカウントに対してリスク検出が生成されるのはなぜですか?
無効になっているユーザー アカウントは、再び有効にすることができます。 無効になっているアカウントの資格情報が侵害され、そのアカウントが再度有効になった場合、不正なアクターがアクセス権を取得するためにそれらの資格情報を使用する可能性があります。 Identity Protection では、無効なユーザー アカウントに対する不審なアクティビティのリスク検出が生成され、アカウントが侵害される可能性があることをお客様に警告します。 アカウントが使用されなくなり、再度有効にすることがない場合は、セキュリティ侵害を防ぐために、アカウントを削除することを検討してください。 削除されたアカウントに対してリスク検出は生成されません。
漏洩した資格情報
Microsoft は、漏洩した資格情報をどこで検出するのですか?
Microsoft では、次のようなさまざまな場所で、漏洩した資格情報を探します。
- 悪意のあるアクターが通常このような素材を投稿する pastebin.com や paste.ca などのパブリック貼り付けサイト。 この場所は、悪意のあるアクターの大半が盗まれた資格情報を探すために最初にアクセスするところです。
- 法執行機関。
- 闇サイトのリサーチを行っている Microsoft の他のグループ。
漏洩した資格情報が表示されないのはなぜですか?
漏洩した資格情報は、Microsoft が公開されている新しいバッチを検出するたびに処理されます。 その機密性のため、漏洩した資格情報は、処理の直後に削除されます。 お客様がパスワード ハッシュの同期 (PHS) を有効にした後で検出された、新たに漏洩した資格情報のみが、テナントに対して処理されます。 前に検出されていた資格情報ペアに対する検証は実行されません。
かなり長い間、漏洩した資格情報リスク イベントを見ていません。
漏洩した資格情報リスク イベントが確認されていない場合、次のような理由が原因です。
- お客様がご自身のテナントに対して PHS を有効にしていません。
- お客様のユーザーと一致する、漏洩した資格情報のペアを Microsoft が見つけていません。
Microsoft では、どのくらいの頻度で新しい資格情報を処理していますか?
資格情報は、通常は 1 日に複数のバッチで検出された直後に処理されます。
場所
リスク検出の場所は、IP アドレス検索によって特定されます。