危険な OAuth アプリを調査して修復する

OAuth は、トークン ベースの認証と承認のためのオープン標準です。 OAuth を使うと、ユーザーのパスワードを公開せずに、ユーザーのアカウント情報をサード パーティのサービスで使用できます。 OAuth は、ユーザーの代わりに仲介役として機能し、特定のアカウント情報の共有を承認するアクセス トークンをサービスに提供します。

たとえば、ユーザーのカレンダーを分析し、生産性を高めるためのアドバイスを提供するアプリは、ユーザーのカレンダーにアクセスする必要があります。 OAuth を使用すると、ユーザーの資格情報を提供する代わりに、以下の図に示すように、ユーザーがページに同意したときに生成されるトークンのみに基づいてアプリがデータにアクセスできるようになります。

組織内のビジネス ユーザーがインストールするサード パーティ製のアプリの多くでは、ユーザー情報とデータにアクセスし、ユーザーの代わりに他のクラウド アプリにサインインするためのアクセス許可が要求されます。 ユーザーは、こうしたアプリをインストールするときに、アプリへのアクセス許可の付与など、プロンプトに表示される詳細をよく確認せずに承認をクリックしてしまいがちです。 サードパーティのアプリのアクセス許可を受け入れると、組織にとって潜在的なセキュリティ リスクが発生します。

たとえば、次の OAuth アプリの同意ページは平均的なユーザーには正当に見えるかもしれませんが、「Google API Explorer」は Google 自体に許可を要求する必要はありません。 したがって、これは、アプリが Google とはまったく関係なく、フィッシングの試みである可能性があることを示しています。

セキュリティ管理者は、環境内のアプリを可視化し、制御する必要があります。これには、アプリが持つアクセス許可も含まれます。 取り消したいリソースへのアクセス許可を必要とするアプリの使用を防止する機能が必要です。 そのため、Microsoft Defender for Cloud Apps には、ユーザーが付与したアプリのアクセス許可を調査および監視する機能が用意されています。 この記事では、組織内の OAuth アプリの調査を専門にサポートし、疑わしい可能性が高いアプリに焦点を当てます。

推奨されるアプローチは、Defender for Cloud Apps ポータルに用意されている機能と情報を使用してアプリを調査し、危険である可能性が低いアプリを除外して、疑わしいアプリに焦点を当てることです。

このチュートリアルで学習する内容は次のとおりです。

• 危険な OAuth アプリを検出する
• 危険な OAuth アプリを調査する
• 危険な OAuth アプリを修復する

Note

この記事では、OAuth アプリ ページのサンプルとスクリーンショットを使用します。これは、アプリ ガバナンスを有効にしていない場合に使用されます。

プレビュー機能を使用していて、アプリ ガバナンスを有効にしている場合は、代わりにアプリ ガバナンス ページから同じ機能を使用できます。

詳細については、「Microsoft Defender for Cloud Apps でのアプリ ガバナンス」を参照してください。

危険な OAuth アプリを検出する方法

危険な OAuth アプリの検出は、以下を使用して実行できます。

• アラート: 既存のポリシーによってトリガーされたアラートに反応します。
• ハンティング: リスクを具体的に疑うことなく、利用可能なすべてのアプリの中から危険なアプリを検索します。

アラートを使用して危険なアプリを検出する

OAuth アプリが特定の基準を満たしたときに自動的に通知を送信するようにポリシーを設定できます。 たとえば、高い権限を必要とし、50 人を超えるユーザーによって承認されたアプリが検出されたときに自動的に通知するようにポリシーを設定できます。 OAuth ポリシーの作成の詳細については、「OAuth アプリ ポリシー」を参照してください。

危険なアプリをハンティングして検出する

1. Microsoft Defender ポータルで、[クラウド アプリ] の [OAuth アプリ] に移動します。 フィルターとクエリを使用して、環境で何が起こっているかを確認します。

   • フィルターを 許可レベルの重大度が高く および コミュニティ使用は一般的ではないに設定します。 このフィルターを使用すると、ユーザーがリスクを過小評価している可能性があり、潜在的に非常に危険なアプリに焦点を当てることができます。

   • 権限 で、特定のコンテキストで特に危険なオプションをすべて選択します。 たとえば、すべてのメールボックスへのフル アクセス など、電子メール アクセスに許可を与えるすべてのフィルターを選択し、アプリのリストを確認して、すべてのアプリが本当にメール関連のアクセスを必要としているかどうかを確認できます。 これは、特定のコンテキスト内で調査し、正当であるように見えても不要な権限が含まれているアプリを見つけるのに役立ちます。 これらのアプリは危険である可能性が高くなります。

     

   • 保存されたクエリ外部ユーザーによって承認されたアプリを選択します。 このフィルターを使用すると、会社のセキュリティ標準に準拠していない可能性のあるアプリを見つけることができます。

2. アプリを確認したら、正当に見えても実際には危険である可能性があるクエリ内のアプリに焦点を当てることができます。 フィルターを使用してそれらを見つけます。

   • 少数のユーザーによって承認されているアプリをフィルターします。 これらのアプリに焦点を当てると、侵害されたユーザーが承認した危険なアプリを検索できます。
   • アプリの目的と一致しないアクセス許可を持つアプリ (すべてのメールボックスへの完全なアクセス権を持つ時計アプリなど)。

3. 各アプリを選択してアプリ ドロワーを開き、アプリに不審な名前、発行者、Web サイトがないか確認します。

4. アプリの一覧を見て、[最後の承認] の下の日付が最近ではないアプリをターゲットにします。 これらのアプリはもう不要になっている場合があります。

   

不審な OAuth アプリを調査する方法

アプリが不審であると判断し、調査する場合は、効率的に調査するために次の重要な原則に従うことをお勧めします。

• アプリが組織内またはオンラインで一般的に使用されているほど、そのアプリは安全である可能性が高くなります。
• アプリには、アプリの目的に関連する権限のみが必要です。 そうでない場合、アプリは危険である可能性があります。
• 高い権限や管理者の同意を必要とするアプリは、危険である可能性が高くなります。

1. アプリを選択してアプリ ドロワーを開き、関連アクティビティ の下にあるリンクを選択します。 これにより、そのアプリで実行されたアクティビティ用にフィルター処理した [アクティビティ ログ] ページが開きます。 一部のアプリで実行されるアクティビティは、ユーザーが実行したものとして登録されることに留意してください。 これらのアクティビティは、[アクティビティ ログ] の結果から自動的に除外されます。 アクティビティ ログを使ったさらなる調査については、アクティビティ ログに関するページをご覧ください。
2. ドロワーで [同意アクティビティ] を選択し、アクティビティ ログ内のアプリに対するユーザーの同意を調査します。
3. アプリが疑わしいと思われる場合は、別のアプリ ストアでアプリの名前と発行元を調査することをお勧めします。 疑わしい可能性がある次のアプリに注目してください。
   • ダウンロード数が少ないアプリ。
   • 評価や点数が低い、または否定的なコメントがあるアプリ。
   • 発行元や Web サイトが疑わしいアプリ。
   • 最新の更新が最近ではないアプリ。 これは、サポートされなくなったアプリを示している場合があります。
   • 関係のないアクセス許可を持っているアプリ。 これは、アプリが危険であることを示している場合があります。
4. アプリがまだ疑わしい場合は、オンラインでアプリの名前、発行元、URL を調査することができます。
5. OAuth アプリ監査をエクスポートして、アプリを承認したユーザーをさらに分析できます。 詳細については、「OAuth アプリの監査」を参照してください。

疑わしい OAuth アプリを修復する方法

ある OAuth アプリが危険であると判断したら、Defender for Cloud Apps によって次の修復オプションが提供されます。

• 手動修復: OAuth アプリ ページからアプリの取り消しを簡単に禁止できます

• 自動修復: アプリを自動的に取り消したり、アプリから特定のユーザーを取り消したりするポリシーを作成できます。

次のステップ

組織を保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。