Microsoft Entra では、セキュリティに関する推奨事項をいくつかの主要な領域にグループ化しています。 この構造により、組織は論理的にプロジェクトを関連する消費型チャンクに分割できます。
先端
一部の組織では、これらの推奨事項が書かれたとおりに行われる場合もあれば、独自のビジネス ニーズに基づいて変更を行う場合もあります。 このガイダンスの最初のリリースでは、従来の 従業員テナントに焦点を当てています。 これらの従業員テナントは、従業員、内部ビジネス アプリ、およびその他の組織リソース用です。
ライセンスが利用可能な場合は、次のすべてのコントロールを実装することをお勧めします。 これは、このソリューションに基づいて構築された他のリソースの基盤を提供するのに役立ちます。 このドキュメントには、時間の経過に伴ってさらに多くのコントロールが追加されます。
特権アクセス
特権アカウントはクラウド ネイティブ ID です
オンプレミスアカウントが侵害され、Microsoft Entra に同期された場合、攻撃者はテナントにもアクセスできる可能性があります。 このリスクが高まるのは、オンプレミス環境では、通常、古いインフラストラクチャと限られたセキュリティ制御により、より多くの攻撃領域があるためです。 また、攻撃者は、オンプレミス環境と Microsoft Entra の間の接続を有効にするために使用されるインフラストラクチャとツールを対象とする可能性もあります。 これらのターゲットには、Microsoft Entra Connect や Active Directory フェデレーション サービスなどのツールが含まれる場合があります。このツールは、他のオンプレミス ユーザー アカウントを偽装または操作する可能性があります。
特権クラウド アカウントがオンプレミス アカウントと同期されている場合、オンプレミスの資格情報を取得した攻撃者は、同じ資格情報を使用してクラウド リソースにアクセスし、クラウド環境に横方向に移動できます。
修復アクションの
高い特権 (Microsoft Entra Privileged Identity Management を通じて永続的に割り当てられたロールまたは資格を持つロール) ごとに、次のアクションを実行する必要があります。
- onPremisesImmutableId と onPremisesSyncEnabled が設定されているユーザーを確認します。 Microsoft Graph API のユーザー リソースの種類 を参照してください。
- これらの個人のクラウド専用ユーザー アカウントを作成し、特権ロールからハイブリッド ID を削除します。
特権アカウントには、フィッシングに対する耐性のある方法が登録されている
フィッシングに強い認証方法がないと、特権ユーザーはフィッシング攻撃に対して脆弱になります。 このような攻撃により、ユーザーは資格情報を明らかにして、攻撃者に不正アクセス権を付与します。 フィッシング対策以外の認証方法を使用すると、攻撃者は敵対者の中間攻撃などの方法を通じて資格情報とトークンを傍受し、特権アカウントのセキュリティを損なう可能性があります。
脆弱な認証方法によって特権アカウントまたはセッションが侵害されると、攻撃者はアカウントを操作して長期的なアクセスを維持したり、他のバックドアを作成したり、ユーザーのアクセス許可を変更したりする可能性があります。 攻撃者は、侵害された特権アカウントを使用してアクセスをさらにエスカレートさせ、より機密性の高いシステムを制御する可能性もあります。
修復アクションの
- フィッシングに強いパスワードレス認証の展開 の概要
- 特権アカウントがフィッシング詐欺に強い方法を登録して使用
- 特権アカウントを対象に条件付きアクセス ポリシーを展開し、認証強度を使用してフィッシング詐欺に強い資格情報を要求
- 認証方法のアクティビティ を監視する
フィッシング詐欺に強い方法で特権ユーザーがサインインする
フィッシングに強い認証方法がないと、特権ユーザーはフィッシング攻撃に対して脆弱になります。 このような攻撃により、ユーザーは資格情報を明らかにして、攻撃者に不正アクセス権を付与します。 フィッシング対策以外の認証方法を使用すると、攻撃者は敵対者の中間攻撃などの方法を通じて資格情報とトークンを傍受し、特権アカウントのセキュリティを損なう可能性があります。
脆弱な認証方法によって特権アカウントまたはセッションが侵害されると、攻撃者はアカウントを操作して長期的なアクセスを維持したり、他のバックドアを作成したり、ユーザーのアクセス許可を変更したりする可能性があります。 攻撃者は、侵害された特権アカウントを使用してアクセスをさらにエスカレートさせ、より機密性の高いシステムを制御する可能性もあります。
修復アクションの
- フィッシングに強いパスワードレス認証の展開 の概要
- 特権アカウントがフィッシング詐欺に強い方法を登録して使用
- 特権アカウントを対象に条件付きアクセス ポリシーを展開し、認証強度を使用してフィッシング詐欺に強い資格情報を要求
- 認証方法のアクティビティ を監視する
すべての特権ロールの割り当ては、期限内にアクティブになり、永続的にはアクティブになりません
脅威アクターは、必要なデータとリソースにアクセスできるため、特権アカウントを対象とします。 これには、Microsoft Entra テナントへのより多くのアクセス、Microsoft SharePoint のデータ、または長期的な永続化を確立する機能が含まれる場合があります。 Just-In-Time (JIT) アクティブ化モデルがないと、管理者特権は継続的に公開され続け、攻撃者は検出されずに運用するための延長期間が提供されます。 Just-In-Time アクセスでは、承認、正当な理由、条件付きアクセス ポリシーなどの追加の制御を使用して時間制限付き特権のアクティブ化を適用することでリスクを軽減し、リスクの高いアクセス許可が必要なときにのみ、限られた期間だけ付与されるようにします。 この制限により、攻撃対象領域が最小限に抑え、横移動が中断され、敵対者は予期しないときに特別に監視および拒否できるアクションがトリガーされます。 Just-In-Time アクセスがない場合、侵害された管理者アカウントは無期限の制御を許可し、攻撃者はセキュリティ制御を無効にし、ログを消去し、ステルスを維持し、侵害の影響を増幅します。
Microsoft Entra Privileged Identity Management (PIM) を使用して、特権ロールの割り当てに対する期限付きの Just-In-Time アクセスを提供します。 Microsoft Entra ID ガバナンスのアクセス レビューを使用して、特権アクセスを定期的に確認し、継続的なニーズを確認します。
修復アクションの
新しいテナントを作成するためのアクセス許可は、テナント作成者ロールに制限されます
脅威アクターまたは意図はありますが、情報を得ない従業員は、制限がない場合は、新しい Microsoft Entra テナントを作成できます。 既定では、テナントを作成するユーザーには、グローバル管理者ロールが自動的に割り当てられます。 適切な制御がない場合、このアクションは、組織のガバナンスと可視性の外部にテナントを作成することで、ID 境界を破壊します。 トークンの発行、ブランド偽装、同意フィッシング、永続的なステージング インフラストラクチャに悪用される可能性があるシャドウ ID プラットフォームでもリスクが生じます。 悪意のあるテナントは企業の管理または監視プレーンに接続されない可能性があるため、従来の防御では、その作成、アクティビティ、および潜在的な誤用が盲目になります。
修復アクションの
[ 管理者以外のユーザーによるテナントの作成を制限する ] 設定を有効にします。 テナントを作成する機能が必要なユーザーには、テナント作成者ロールを割り当てます。 Microsoft Entra 監査ログでテナント作成イベントを確認することもできます。
- メンバー ユーザーの既定のアクセス許可を制限する
- テナント作成者ロールを割り当てる
- テナント作成イベントを確認します。 OperationName=="Create Company"、Category == "DirectoryManagement" を探します。
グローバル管理者が Azure サブスクリプションに永続的にアクセスできない
Azure サブスクリプションへの永続的なアクセス権を持つグローバル管理者は、脅威アクターの攻撃対象領域を拡大します。 グローバル管理者アカウントが侵害された場合、攻撃者はすぐにリソースを列挙し、構成を変更し、ロールを割り当て、すべてのサブスクリプションにわたって機密データを流出させることができます。 サブスクリプション アクセスに Just-In-Time 昇格を要求すると、検出可能な信号が発生し、攻撃者の速度が遅くなり、監視可能な制御ポイントを介して影響の大きい操作がルーティングされます。
修復アクションの
認証方法のアクティビティ を監視する
特権ロールのアクティブ化で監視とアラートが構成されている
高い特権を持つロールに対する適切なアクティブ化アラートがない組織では、ユーザーがこれらの重要なアクセス許可にいつアクセスするかを把握する必要はありません。 脅威アクターは、この監視ギャップを利用して、検出なしで高度な特権ロールをアクティブ化し、管理者アカウントの作成またはセキュリティ ポリシーの変更を通じて永続化を確立することで、特権エスカレーションを実行できます。 リアルタイム アラートが存在しない場合、攻撃者は、迅速な対応手順をトリガーすることなく、横移動を実行したり、監査構成を変更したり、セキュリティ制御を無効にしたりできるようになります。
修復アクションの
グローバル管理者ロールのアクティブ化によって承認ワークフローがトリガーされる
承認ワークフローがない場合、フィッシング、資格情報の詰め込み、またはその他の認証バイパス手法によってグローバル管理者の資格情報を侵害した脅威アクターは、他の検証や監視を行うことなく、テナントで最も特権のあるロールを直ちにアクティブ化できます。 Privileged Identity Management (PIM) を使用すると、資格のあるロールのアクティブ化が数秒以内にアクティブになるため、資格情報が侵害されると、ほぼ瞬時に特権エスカレーションが可能になります。 アクティブ化されると、脅威アクターはグローバル管理者ロールを使用して、次の攻撃パスを使用してテナントへの永続的なアクセスを取得できます。
- 新しい特権アカウントを作成する
- 条件付きアクセス ポリシーを変更して、これらの新しいアカウントを除外する
- 高い特権を持つ証明書ベースの認証やアプリケーションの登録などの代替認証方法を確立する
グローバル管理者ロールは、Microsoft Entra ID および Microsoft Entra ID を使用するサービス (Microsoft Defender XDR、Microsoft Purview、Exchange Online、SharePoint Online など) の管理機能へのアクセスを提供します。 承認ゲートがないと、脅威アクターは迅速にエスカレートしてテナントの引き継ぎを完了し、機密データを流出させ、すべてのユーザー アカウントを侵害し、最初の侵害が検出された後も保持されるサービス プリンシパルまたはフェデレーションの変更を通じて長期的なバックドアを確立できます。
修復アクションの
ゲストに高い特権ディレクトリ ロールが割り当てられない
グローバル管理者や特権ロール管理者などの高い特権を持つディレクトリ ロールがゲスト ユーザーに割り当てられている場合、組織は、脅威アクターが侵害された外部アカウントまたはビジネス パートナー環境を介して初期アクセスのために悪用できる重大なセキュリティ脆弱性を作成します。 ゲスト ユーザーはセキュリティ ポリシーを直接制御せずに外部組織から発信されるため、これらの外部 ID を侵害した脅威アクターは、ターゲット組織の Microsoft Entra テナントへの特権アクセスを取得できます。
脅威アクターは、昇格された特権を持つ侵害されたゲスト アカウントを通じてアクセス権を取得すると、自分の特権をエスカレートして、他のバックドア アカウントを作成したり、セキュリティ ポリシーを変更したり、組織内で永続的なロールを割り当てたりすることができます。 侵害された特権ゲスト アカウントを使用すると、脅威アクターは永続化を確立し、検出されないようにするために必要なすべての変更を行うことができます。 たとえば、クラウド専用アカウントを作成し、内部ユーザーに適用される条件付きアクセス ポリシーをバイパスし、ゲストの自宅組織が侵害を検出した後でもアクセスを維持できます。 脅威アクターは、管理特権を使用して横移動を実行して、機密性の高いリソースにアクセスしたり、監査設定を変更したり、テナント全体のセキュリティ監視を無効にしたりすることができます。 脅威アクターは、外部ゲスト アカウントの配信元を通じて妥当な拒否性を維持しながら、組織の ID インフラストラクチャの完全な侵害に到達できます。
修復アクションの
特権アクセス ワークステーションの条件付きアクセス ポリシーが構成されている
特権ロールのアクティブ化が専用の Privileged Access Workstations (PAW) に制限されていない場合、脅威アクターは、侵害されたエンドポイント デバイスを悪用して、アンマネージド ワークステーションまたは非準拠ワークステーションからの特権エスカレーション攻撃を実行する可能性があります。 標準的な生産性ワークステーションには、多くの場合、無制限の Web 閲覧、フィッシングに対して脆弱な電子メール クライアント、潜在的な脆弱性を持つローカルにインストールされたアプリケーションなどの攻撃ベクトルが含まれています。 管理者がこれらのワークステーションから特権ロールをアクティブ化した場合、マルウェア、ブラウザーの悪用、またはソーシャル エンジニアリングによって初期アクセスを取得する脅威アクターは、ローカルにキャッシュされた特権資格情報を使用するか、既存の認証済みセッションをハイジャックして特権をエスカレートできます。 特権ロールのアクティブ化により、Microsoft Entra ID と接続済みサービス間で広範な管理者権限が付与されるため、攻撃者は新しい管理アカウントを作成し、セキュリティ ポリシーを変更し、すべての組織リソースの機密データにアクセスし、環境全体にマルウェアやバックドアを展開して永続的なアクセスを確立できます。 侵害されたエンドポイントから特権クラウド リソースへのこの横移動は、多くの従来のセキュリティ制御をバイパスする重要な攻撃パスを表します。 認証された管理者のセッションから発信された場合、特権アクセスは正当に表示されます。
このチェックに合格した場合、テナントには PAW デバイスへの特権ロール アクセスを制限する条件付きアクセス ポリシーがありますが、PAW ソリューションを完全に有効にするために必要な制御はそれだけではありません。 また、Intune デバイスの構成とコンプライアンス ポリシーとデバイス フィルターを構成する必要もあります。
修復アクションの
-
特権アクセス ワークステーション ソリューションをデプロイする
- 条件付きアクセスと Intune デバイスの構成とコンプライアンス ポリシーを構成するためのガイダンスを提供します。
- 条件付きアクセスでデバイス フィルターを構成して特権アクセスを制限する
資格情報の管理
ユーザーに強力な認証方法が構成されている
多要素認証 (MFA) がユニバーサルに適用されていない場合、または例外が発生した場合、攻撃者はアクセスを得る可能性があります。 攻撃者は、ソーシャル エンジニアリング手法を使用して、SMS や電話などの弱い MFA メソッドの脆弱性を悪用してアクセスを取得する可能性があります。 これらの手法には、認証コードをインターセプトするための SIM スワップやフィッシングが含まれる場合があります。
攻撃者は、これらのアカウントをテナントへのエントリ ポイントとして使用する可能性があります。 傍受されたユーザー セッションを使用することで、攻撃者はアクティビティを正当なユーザー アクションとして偽装し、検出を回避し、疑いを引き起こさずに攻撃を続行できます。 そこから、MFA 設定を操作して、侵害されたアカウントの特権に基づいて永続化を確立し、計画し、さらに攻撃を実行しようとする可能性があります。
修復アクションの
- 多要素認証 を展開する
- フィッシングに強いパスワードレス認証の展開 の概要
- 条件付きアクセス ポリシーを展開して認証強度 を適用する
- 認証方法アクティビティの を確認する
従来の MFA ポリシーと SSPR ポリシーから移行する
Microsoft Entra ID のレガシ多要素認証 (MFA) ポリシーとセルフサービス パスワード リセット (SSPR) ポリシーは、認証方法を個別に管理し、断片化された構成と最適でないユーザー エクスペリエンスにつながります。 さらに、これらのポリシーを個別に管理すると、管理オーバーヘッドと構成ミスのリスクが増加します。
統合された認証方法ポリシーに移行すると、MFA、SSPR、パスワードレス認証方法の管理が 1 つのポリシー フレームワークに統合されます。 この統合により、より詳細な制御が可能になり、管理者は特定の認証方法をユーザー グループに対してターゲットにし、組織全体で一貫したセキュリティ対策を適用できます。 さらに、統合ポリシーでは、FIDO2 セキュリティ キーや Windows Hello for Business などの最新の認証方法がサポートされ、組織のセキュリティ体制が強化されます。
Microsoft は、2025 年 9 月 30 日に廃止日を設定して、従来の MFA ポリシーと SSPR ポリシーの廃止を発表しました。 組織は、中断の可能性を回避し、統合ポリシーの強化されたセキュリティと管理機能の恩恵を受けるために、この日付より前に認証方法ポリシーへの移行を完了することをお勧めします。
修復アクションの
従来の MFA およびセルフサービス パスワード リセット (SSPR) ポリシーから移行する
SMS や音声通話などの脆弱な認証方法が Microsoft Entra ID で有効なままの場合、脅威アクターは複数の攻撃ベクトルを介してこれらの脆弱性を悪用する可能性があります。 最初は、攻撃者は多くの場合、ソーシャル エンジニアリングまたは技術スキャンを通じて、これらの弱い認証方法を使用して組織を特定するために偵察を行います。 その後、資格情報の詰め込み攻撃、パスワード スプレー、またはユーザー資格情報を対象とするフィッシング キャンペーンを通じて、初期アクセスを実行します。 基本的な資格情報が侵害されると、脅威アクターは SMS と音声ベースの認証に固有の弱点を使用します。SMS メッセージは、SIM スワップ攻撃、SS7 ネットワークの脆弱性、モバイル デバイス上のマルウェアを通じて傍受される可能性があり、音声通話は音声フィッシング (Vishing) や着信転送操作の影響を受けやすくなります。 これらの弱い第 2 の要因がバイパスされると、攻撃者は独自の認証方法を登録することで永続化を実現します。 これにより、侵害されたアカウントを使用して、内部フィッシングやソーシャル エンジニアリングを通じて高い特権を持つユーザーをターゲットにできるため、特権エスカレーションが可能になります。 最後に、脅威アクターは、セキュリティ ログに通常表示される正当な認証経路を使用してステルスを維持しながら、データ流出、重要なシステムへの横移動、または他の悪意のあるツールの展開を通じて目標を達成します。
修復アクションの
管理者ロールにパスワード リセット通知を要求する
Microsoft Entra ID で管理者ロールのパスワード リセット通知を構成すると、別の管理者がパスワードをリセットしたときに特権管理者に通知することで、セキュリティが強化されます。 この可視性は、資格情報の侵害や内部関係者の脅威を示す可能性がある、承認されていないアクティビティまたは疑わしいアクティビティを検出するのに役立ちます。 これらの通知がなければ、悪意のあるアクターは昇格された特権を利用して永続化を確立したり、アクセスをエスカレートしたり、機密データを抽出したりする可能性があります。 プロアクティブ通知では、クイック アクションがサポートされ、特権アクセスの整合性が維持され、全体的なセキュリティ体制が強化されます。
修復アクションの
Authenticator アプリにサインイン コンテキストが表示される
サインイン コンテキストがないと、脅威アクターはユーザーにプッシュ通知が殺到し、ユーザーが誤って悪意のある要求を承認する可能性が高まり、認証の疲労を悪用する可能性があります。 ユーザーがアプリケーション名または地理的な場所を持たない汎用プッシュ通知を受け取った場合、情報に基づく承認の決定を行うために必要な情報がありません。 このようなコンテキストの欠如により、ユーザーはソーシャル エンジニアリング攻撃に対して脆弱になります。特に、脅威アクターが正当なユーザー アクティビティの期間中に要求を行う場合です。 この脆弱性は、脅威アクターが資格情報の収集またはパスワード スプレー攻撃によって初期アクセスを取得し、予期しないアプリケーションまたは場所からの多要素認証 (MFA) 要求を承認して永続化を確立しようとする場合に特に危険です。 コンテキスト情報がないと、ユーザーは通常とは異なるサインイン試行を検出できないため、脅威アクターは、最初の認証バリアをバイパスした後にシステムを横方向に移動することで、アクセスを維持し、特権をエスカレートできます。 アプリケーションと場所のコンテキストがないと、セキュリティ チームは、進行中の侵害または偵察アクティビティを示す可能性のある疑わしい認証パターンを検出するための貴重なテレメトリも失います。
修復アクション 情報に基づいて承認を決定するために必要なコンテキストをユーザーに提供します。 アプリケーション名と地理的な場所を含むように認証方法ポリシーを設定して、Microsoft Authenticator 通知を構成します。
使用がない場合はシームレス SSO を無効にする
Microsoft Entra シームレス シングル サインオン (シームレス SSO) は、ハイブリッド Microsoft Entra ID 参加していないドメイン参加済みデバイスにパスワードレス アクセスを提供するように設計されたレガシ認証機能です。 シームレス SSO は Kerberos 認証に依存しており、主にプライマリ更新トークン (PRT) をサポートしていない Windows 7 や Windows 8.1 などの古いオペレーティング システムに役立ちます。 これらのレガシ システムが環境内に存在しなくなった場合、シームレス SSO を引き続き使用すると、不要な複雑さと潜在的なセキュリティの露出が生じます。 脅威アクターは、正しく構成されていない Kerberos チケットまたは古い Kerberos チケットを悪用したり、Microsoft Entra ID で使用される Kerberos 復号化キーを保持する Active Directory の AZUREADSSOACC
コンピューター アカウントを侵害したりする可能性があります。 侵害されると、攻撃者はユーザーを偽装し、最新の認証制御をバイパスし、クラウド リソースへの不正アクセスを取得する可能性があります。 不要になった環境でシームレス SSO を無効にすると、攻撃対象領域が減少し、より強力な保護を提供する最新のトークンベースの認証メカニズムの使用が強制されます。
修復アクションの
アクセス制御
レガシ認証をブロックする
SMTP や IMAP の基本認証などのレガシ認証プロトコルでは、多要素認証 (MFA) などの最新のセキュリティ機能はサポートされていません。これは、未承認のアクセスから保護するために重要です。 この保護の欠如により、これらのプロトコルを使用するアカウントはパスワードベースの攻撃に対して脆弱になり、攻撃者は盗まれた資格情報または推測された資格情報を使用して初期アクセスを取得する手段を提供します。
攻撃者が資格情報への不正アクセスに成功すると、脆弱な認証方法をエントリ ポイントとして使用して、それらを使用してリンクされたサービスにアクセスできます。 レガシ認証を通じてアクセスを取得した攻撃者は、メール転送ルールの構成や他の設定の変更など、Microsoft Exchange に変更を加え、機密性の高い通信への継続的なアクセスを維持できる可能性があります。
また、レガシ認証では、セキュリティ アラートをトリガーしたり、再認証を要求したりすることなく、侵害された資格情報を使用してシステムを再入力する一貫した方法を攻撃者に提供します。
そこから、攻撃者はレガシ プロトコルを使用して、侵害されたアカウントを介してアクセスできる他のシステムにアクセスし、横移動を促進できます。 レガシ プロトコルを使用する攻撃者は、正当なユーザー アクティビティと組み合わせて、セキュリティ チームが通常の使用と悪意のある動作を区別することが困難になります。
修復アクションの
次の条件付きアクセス ポリシーを展開します。
- レガシ認証 をブロックする
特権 Microsoft Entra 組み込みロールは、フィッシングに対する耐性のある方法を適用するための条件付きアクセス ポリシーを対象とします
フィッシングに強い認証方法がないと、特権ユーザーはフィッシング攻撃に対して脆弱になります。 このような攻撃により、ユーザーは資格情報を明らかにして、攻撃者に不正アクセス権を付与します。 フィッシング対策以外の認証方法を使用すると、攻撃者は敵対者の中間攻撃などの方法を通じて資格情報とトークンを傍受し、特権アカウントのセキュリティを損なう可能性があります。
脆弱な認証方法によって特権アカウントまたはセッションが侵害されると、攻撃者はアカウントを操作して長期的なアクセスを維持したり、他のバックドアを作成したり、ユーザーのアクセス許可を変更したりする可能性があります。 攻撃者は、侵害された特権アカウントを使用してアクセスをさらにエスカレートさせ、より機密性の高いシステムを制御する可能性もあります。
修復アクションの
- フィッシングに強いパスワードレス認証の展開 の概要
- 特権アカウントがフィッシング詐欺に強い方法を登録して使用
- 特権アカウントを対象に条件付きアクセス ポリシーを展開し、認証強度を使用してフィッシング詐欺に強い資格情報を要求
- 認証方法のアクティビティ を監視する
リスクの高いユーザーへのアクセスを制限する
危険度の高いユーザーが脅威アクターによって侵害されていると仮定します。 調査と修復を行わないと、脅威アクターは、侵害された可能性のあるユーザーのアクセス許可に基づいて、スクリプトの実行、悪意のあるアプリケーションのデプロイ、または API 呼び出しの操作を行って永続化を確立できます。 その後、脅威アクターは、誤った構成や OAuth トークンの悪用を悪用して、ドキュメント、SaaS アプリケーション、Azure リソースなどのワークロード間で横方向に移動する可能性があります。 脅威アクターは、機密性の高いファイル、顧客レコード、または独自のコードにアクセスし、正当なクラウド サービスを通じてステルスを維持しながら外部リポジトリに流出させることができます。 最後に、脅威アクターは、構成の変更、身代金のデータの暗号化、または盗まれた情報を使用してさらなる攻撃を行うことで、運用を中断する可能性があり、その結果、財務的、評判的、および規制上の影響が生じます。
修復アクションの
- 管理者特権でのユーザー リスク に対してセキュリティで保護されたパスワードの変更を要求条件付きアクセス ポリシーを作成します。
- Microsoft Entra ID Protection を使用して、リスク をさらに調査。
デバイス コード フローを制限する
デバイス コード フローは、入力制約のあるデバイス用に設計されたクロスデバイス認証フローです。 フィッシング攻撃で悪用される可能性があります。この攻撃では、攻撃者がフローを開始し、ユーザーが自分のデバイスでフローを完了するように誘導し、それによってユーザーのトークンを攻撃者に送信します。 セキュリティ リスクとデバイス コード フローの正当な使用方法が少ない場合は、条件付きアクセス ポリシーを有効にして、既定でこのフローをブロックする必要があります。
修復アクションの
- 条件付きアクセス ポリシーを作成して、デバイス コード フロー をブロックします。
- デバイス コード フローの の詳細を確認する
ユーザー アクションを使用してデバイスの参加とデバイスの登録に多要素認証を要求する
脅威アクターは、新しいデバイス登録中に多要素認証の欠如を悪用する可能性があります。 認証されると、悪意のあるデバイスを登録し、永続化を確立し、信頼されたエンドポイントに関連付けられているセキュリティ制御を回避できます。 この足掛かりにより、攻撃者は、攻撃者が使用しているアカウントのアクセス許可に応じて、機密データを流出させたり、悪意のあるアプリケーションを展開したり、横方向に移動したりできます。 MFA の適用がなければ、敵対者が継続的に再認証し、検出を回避し、目標を実行できるため、リスクはエスカレートされます。
修復アクションの
- デバイス登録 に多要素認証を要求条件付きアクセス ポリシーを作成します。
クラウド認証を使用する
オンプレミスのフェデレーション サーバーは、クラウド アプリケーションの中央認証ポイントとして機能することで、重要な攻撃対象領域を導入します。 多くの場合、脅威アクターは、フィッシング、資格情報の詰め込み、脆弱なパスワードの悪用などの攻撃を通じて、ヘルプ デスクの担当者や運用エンジニアなどの特権を持つユーザーを侵害することで、足掛かりを得ることができます。 また、インフラストラクチャの修正プログラムが適用されていない脆弱性をターゲットにしたり、リモートコード実行の悪用を使用したり、Kerberos プロトコルを攻撃したり、ハッシュパス攻撃を使用して特権をエスカレートしたりする可能性もあります。 リモート デスクトップ プロトコル (RDP)、仮想プライベート ネットワーク (VPN)、ジャンプ サーバーなどの正しく構成されていないリモート アクセス ツールは、他のエントリ ポイントを提供しますが、サプライ チェーンの侵害や悪意のある内部関係者はさらに露出を増やします。 内部に入ると、脅威アクターは認証フローを操作し、セキュリティ トークンを偽造して任意のユーザーを偽装し、クラウド環境にピボットすることができます。 永続化を確立すると、セキュリティ ログを無効にし、検出を回避し、機密データを流出させることができます。
修復アクションの
- Microsoft Entra パスワード ハッシュ同期 (PHS)などのフェデレーションからクラウド認証に移行します。
名前付きの場所が構成されている
Microsoft Entra ID で名前付き場所が構成されていないと、脅威アクターは、場所ベースのリスク検出やセキュリティ制御をトリガーすることなく、場所インテリジェンスの欠如を利用して攻撃を実行できます。 信頼されたネットワーク、ブランチ オフィス、既知の地理的リージョンの名前付き場所を組織が定義できない場合、Microsoft Entra ID Protection は場所ベースのリスクシグナルを評価できません。 これらのポリシーを設定しないと、誤検知が増加し、アラートの疲労が発生し、本物の脅威が隠される可能性があります。 この構成ギャップにより、システムは正当な場所と不正な場所を区別できなくなります。 たとえば、企業ネットワークからの正当なサインインや、危険度の高い場所 (匿名プロキシ ネットワーク、Tor 出口ノード、組織がビジネス上のプレゼンスを持たないリージョン) からの疑わしい認証の試行などです。 脅威アクターは、この不確実性を使用して、資格情報の詰め込み攻撃、パスワード スプレー キャンペーン、悪意のあるインフラストラクチャからの最初のアクセス試行を実行できます。通常は、疑わしいなどのアクティビティにフラグを設定する場所ベースの検出をトリガーする必要はありません。 組織は、より厳密な認証要件を自動的に適用したり、信頼されていない地理的リージョンからのアクセスを完全にブロックしたりする可能性があるアダプティブ セキュリティ ポリシーを実装する機能を失う可能性もあります。 脅威アクターは、場所ベースのセキュリティ バリアに遭遇することなく、永続化を維持し、グローバルな場所からの横移動を実行できます。これは、未承認のアクセス試行に対する防御の追加レイヤーとして機能する必要があります。
修復アクションの
アプリケーション管理
非アクティブなアプリケーションには、高い特権を持つ Microsoft Graph API アクセス許可がありません
攻撃者は、引き続き昇格された特権を持つ有効で非アクティブなアプリケーションを悪用する可能性があります。 これらのアプリケーションは、正当なアプリケーションであるため、アラームを発生させることなく初期アクセスを取得するために使用できます。 そこから、攻撃者はアプリケーション特権を使用して、他の攻撃を計画または実行できます。 攻撃者は、資格情報の追加など、非アクティブなアプリケーションを操作してアクセスを維持する可能性もあります。 この永続化により、プライマリ アクセス方法が検出された場合でも、後でアクセスを回復できます。
修復アクションの
- 特権サービス プリンシパル を無効にする
- アプリケーションに正当なユース ケースがあるかどうかを調査する
- サービス プリンシパルに正当なユース ケースがない場合は、それを削除
非アクティブなアプリケーションには、高い特権を持つ組み込みロールがありません
攻撃者は、引き続き昇格された特権を持つ有効で非アクティブなアプリケーションを悪用する可能性があります。 これらのアプリケーションは、正当なアプリケーションであるため、アラームを発生させることなく初期アクセスを取得するために使用できます。 そこから、攻撃者はアプリケーション特権を使用して、他の攻撃を計画または実行できます。 攻撃者は、資格情報の追加など、非アクティブなアプリケーションを操作してアクセスを維持する可能性もあります。 この永続化により、プライマリ アクセス方法が検出された場合でも、後でアクセスを回復できます。
修復アクションの
- 非アクティブな特権サービス プリンシパル を無効にする
- アプリケーションに正当なユース ケースがあるかどうかを調査します。 その場合は、OAuth2 アクセス許可の方が適しているかどうかを分析
- サービス プリンシパルに正当なユース ケースがない場合は、それを削除
アプリケーションにシークレットが構成されていない
クライアント シークレットを使用するアプリケーションは、それらを構成ファイルに格納したり、スクリプトにハードコーディングしたり、他の方法で公開を危険にさらしたりする可能性があります。 シークレット管理の複雑さにより、クライアント シークレットはリークの影響を受けやすく、攻撃者にとって魅力的です。 クライアント シークレットが公開されると、攻撃者はアクティビティを正当な操作と組み合わせて、セキュリティ制御を簡単にバイパスできるようになります。 攻撃者がアプリケーションのクライアント シークレットを侵害した場合、システム内の特権をエスカレートし、アプリケーションのアクセス許可に応じて、より広範なアクセスと制御を行うことができます。
Microsoft Graph API またはその他の API に対するアクセス許可を持つアプリケーションとサービス プリンシパルは、攻撃者がこれらの追加のアクセス許可を悪用する可能性があるため、リスクが高くなります。
修復アクションの
-
共有シークレットからマネージド ID にアプリケーションを移動し、より安全なプラクティス採用します。
- Azure リソースにマネージド ID を使用する
- ワークロード ID の条件付きアクセス ポリシーをデプロイする
- シークレット スキャンを実装する
- アプリケーション認証ポリシーを展開して、セキュリティで保護された認証プラクティスを適用する
- 最小限の特権を持つカスタム ロールを作成してアプリケーションの資格情報をローテーションする
- アプリケーションをトリアージして監視するプロセスがあることを確認する
アプリケーションの有効期限が 180 日を超える証明書がない
証明書が安全に保存されていない場合は、攻撃者によって抽出および悪用され、不正アクセスにつながる可能性があります。 有効期間の長い証明書は、時間の経過と同時に公開される可能性が高くなります。 資格情報が公開されると、攻撃者はアクティビティを正当な操作と融合させ、セキュリティ制御をバイパスしやすくなります。 攻撃者がアプリケーションの証明書を侵害した場合、システム内の特権をエスカレートし、アプリケーションの特権に応じてより広範なアクセスと制御を行うことができます。
修復アクションの
- 証明書ベースのアプリケーション構成 を定義する
- テナント内のアプリとサービス プリンシパルの信頼された証明機関を定義する
- アプリケーション管理ポリシー を定義する
- シークレットと証明書の標準を適用する
- アプリケーション資格情報をローテーションする最小特権のカスタム ロールを作成
アプリケーション証明書を定期的にローテーションする必要がある
証明書が定期的にローテーションされない場合は、脅威アクターに、それらを抽出して悪用するための拡張ウィンドウが提供され、不正アクセスにつながる可能性があります。 このような資格情報が公開されると、攻撃者は悪意のあるアクティビティと正当な操作を組み合わせて、セキュリティ制御を簡単にバイパスできます。 攻撃者がアプリケーションの証明書を侵害した場合、システム内の特権をエスカレートし、アプリケーションの特権に応じてより広範なアクセスと制御を行うことができます。
証明書の資格情報を持つすべてのサービス プリンシパルとアプリケーション登録に対してクエリを実行します。 証明書の開始日が 180 日未満であることを確認します。
修復アクションの
- 証明書の有効期間を管理するアプリケーション管理ポリシーを定義
- 信頼された証明書チェーンの信頼 を定義する
- アプリケーション資格情報をローテーションする最小特権カスタム ロールを作成
- 証明書ベースの資格情報を管理するためのアプリ管理ポリシーの詳細
新しいアプリケーションとサービス プリンシパルの作成は特権ユーザーに制限されます
特権のないユーザーがアプリケーションとサービス プリンシパルを作成できる場合、これらのアカウントが正しく構成されていないか、必要以上に多くのアクセス許可が付与され、攻撃者が初期アクセスを取得するための新しいベクトルが作成される可能性があります。 攻撃者はこれらのアカウントを悪用して、環境内で有効な資格情報を確立し、一部のセキュリティ制御をバイパスすることができます。
特権のないこれらのアカウントに管理者特権のないアカウントが誤って昇格されたアプリケーション所有者のアクセス許可を付与された場合、攻撃者はそれらを使用して、より低いレベルのアクセスからより特権のあるレベルのアクセスに移行できます。 特権のないアカウントを侵害する攻撃者は、自分の資格情報を追加したり、特権のないユーザーによって作成されたアプリケーションに関連付けられているアクセス許可を変更して、検出されない環境に引き続きアクセスできるようにすることができます。
攻撃者は、サービス プリンシパルを使用して、正当なシステム プロセスとアクティビティに溶け込むことができます。 サービス プリンシパルは多くの場合、自動化されたタスクを実行するため、これらのアカウントで実行される悪意のあるアクティビティには疑わしいというフラグが設定されない可能性があります。
修復アクションの
アプリの登録で安全なリダイレクト URI を使用する
ワイルドカード、localhost、または URL 短縮を含む URL で構成された OAuth アプリケーションは、脅威アクターの攻撃対象領域を増やします。 セキュリティで保護されていないリダイレクト URI (応答 URL) を使用すると、敵対者は、攻撃者が制御するエンドポイントにユーザーを誘導することで、認証要求の操作、承認コードのハイジャック、トークンの傍受が可能になる場合があります。 ワイルドカード エントリは、意図しないドメインが認証応答を処理することを許可することでリスクを拡大します。一方、localhost と短縮 URL は、制御されていない環境でのフィッシングやトークンの盗難を容易にする可能性があります。
リダイレクト URI を厳密に検証しないと、攻撃者はセキュリティ制御をバイパスし、正当なアプリケーションを偽装し、特権をエスカレートすることができます。 この構成ミスにより、敵対者が弱い OAuth 強制を悪用して、検出されない保護されたリソースに侵入するため、永続化、未承認のアクセス、横移動が可能になります。
修復アクションの
- アプリケーション登録のリダイレクト URI を確認します。 リダイレクト URI に localhost、*.azurewebsites.net、ワイルドカード、または URL 短縮子がないことを確認します。
サービス プリンシパルが安全なリダイレクト URI を使用する
ワイルドカード、localhost、または URL 短縮を含む URL で構成された Microsoft 以外のマルチテナント アプリケーションは、脅威アクターの攻撃対象領域を増やします。 これらの安全でないリダイレクト URI (応答 URL) により、敵対者は、攻撃者が制御するエンドポイントにユーザーを誘導することで、認証要求の操作、承認コードのハイジャック、トークンの傍受が可能になる場合があります。 ワイルドカード エントリは、意図しないドメインが認証応答を処理することを許可することでリスクを拡大します。一方、localhost と短縮 URL は、制御されていない環境でのフィッシングやトークンの盗難を容易にする可能性があります。
リダイレクト URI を厳密に検証しないと、攻撃者はセキュリティ制御をバイパスし、正当なアプリケーションを偽装し、特権をエスカレートすることができます。 この構成ミスにより、敵対者が弱い OAuth 強制を悪用して、検出されない保護されたリソースに侵入するため、永続化、未承認のアクセス、横移動が可能になります。
修復アクションの
- アプリケーション登録のリダイレクト URI を確認します。 リダイレクト URI に localhost、*.azurewebsites.net、ワイルドカード、または URL 短縮子がないことを確認します。
管理者の同意ワークフローが有効になっている
Microsoft Entra テナントで管理者の同意ワークフローを有効にすることは、承認されていないアプリケーション アクセスと特権エスカレーションに関連するリスクを軽減する重要なセキュリティ対策です。 このチェックは、管理者特権のアクセス許可を要求するすべてのアプリケーションが、同意が付与される前に、指定された管理者によるレビュー プロセスを受けることが保証されるため、重要です。 Microsoft Entra ID の管理者の同意ワークフローは、アプリケーションの正当性と必要性に基づいて同意要求を評価および承認または拒否するレビュー担当者に通知します。 このチェックに合格しない場合、つまりワークフローが無効になっている場合、アプリケーションは管理者のレビューなしで昇格されたアクセス許可を要求し、受け取る可能性があります。 悪意のあるアクターがこの監視不足を悪用して機密データへの不正アクセスを取得したり、特権エスカレーションを実行したり、その他の悪意のあるアクティビティを実行したりする可能性があります。
修復アクションの
管理者の同意要求の場合は、[ ユーザーが同意できないアプリに対して管理者の同意を要求できる ] を [ はい] に設定します。 要求をレビューできるユーザーなど、他の設定を指定します。
- 管理者の同意ワークフローを有効にする
- または、 Update adminConsentRequestPolicy API を使用して、
isEnabled
プロパティを true やその他の設定に設定します。
アプリの登録には、未解決または破棄されたドメイン リダイレクト URI を含めてはなりません
アプリの登録で保持されていないリダイレクト URI または孤立したリダイレクト URI は、アクティブなリソースを指し示しなくなったドメインを参照するときに、重大なセキュリティ脆弱性を作成します。 脅威アクターは、破棄されたドメインでリソースをプロビジョニングし、リダイレクト エンドポイントを効果的に制御することで、これらの "未解決" DNS エントリを利用できます。 この脆弱性により、攻撃者は OAuth 2.0 フロー中に認証トークンと資格情報を傍受でき、不正アクセス、セッションハイジャック、組織の広範な侵害の可能性があります。
修復アクションの
リスク ポリシーに基づくワークロード ID が構成されている
Microsoft Entra ID のリスク ポリシーに基づいて、ワークロード ID のリスクベースの条件付きアクセス ポリシーを設定して、信頼されたワークロードと検証済みのワークロードのみが機密リソースを使用するようにします。 これらのポリシーがないと、脅威アクターは最小限の検出でワークロード ID を侵害し、さらなる攻撃を実行できます。 異常なアクティビティやその他のリスクを検出するための条件付き制御がないと、トークン フォージェリ、機密性の高いリソースへのアクセス、ワークロードの中断などの悪意のある操作に対するチェックはありません。 自動封じ込めメカニズムがないため、ドウェル時間が長くなり、重要なサービスの機密性、整合性、可用性に影響します。
修復アクション ワークロード ID のリスクベースの条件付きアクセス ポリシーを作成します。
アプリ インスタンスのプロパティ ロックは、すべてのマルチテナント アプリケーションに対して構成されます
アプリ インスタンスのプロパティ ロックにより、アプリケーションが別のテナントにプロビジョニングされた後にマルチテナント アプリケーションの機密性の高いプロパティが変更されるのを防ぐことができます。 ロックがないと、アプリケーション資格情報などの重要なプロパティが悪意を持って変更されたり、意図せずに変更されたりする可能性があります。これにより、中断、リスクの増加、未承認のアクセス、特権のエスカレーションが発生する可能性があります。
修復アクション すべてのマルチテナント アプリケーションのアプリ インスタンス プロパティ ロックを有効にし、ロックするプロパティを指定します。
アプリケーションに対するリソース固有の同意が制限されている
Microsoft Entra ID のアプリケーションにグループ所有者が同意できるようにすると、横方向のエスカレーション パスが作成され、脅威アクターは管理者の資格情報なしでデータを保持して盗むことができます。 攻撃者がグループ所有者アカウントを侵害した場合、悪意のあるアプリケーションを登録または使用し、グループを対象とした高い特権を持つ Graph API のアクセス許可に同意することができます。 攻撃者は、すべての Teams メッセージを読み取ったり、SharePoint ファイルにアクセスしたり、グループ メンバーシップを管理したりする可能性があります。 この同意アクションにより、委任されたアクセス許可またはアプリケーションアクセス許可を持つ有効期間の長いアプリケーション ID が作成されます。 攻撃者は OAuth トークンを使用して永続化を維持し、チーム チャネルやファイルから機密データを盗み、メッセージングまたは電子メールのアクセス許可を通じてユーザーを偽装します。 アプリの同意ポリシーを一元的に適用しないと、セキュリティ チームは可視性を失い、悪意のあるアプリケーションがレーダーの下に広がり、コラボレーション プラットフォーム間でマルチステージ攻撃が可能になります。
修復アクション Resource-Specific Consent (RSC) アクセス許可の事前適用を構成します。
Microsoft サービス アプリケーションに資格情報が構成されていない
テナントで動作する Microsoft サービス アプリケーションは、所有者組織 ID "f8cdef31-a31e-4b4a-93e4-5f571e91255a" を持つサービス プリンシパルとして識別されます。これらのサービス プリンシパルがテナントで資格情報を構成している場合、脅威アクターが悪用する可能性のある攻撃ベクトルが作成される可能性があります。 管理者が資格情報を追加し、不要になった場合、攻撃者のターゲットになる可能性があります。 適切な予防および検出の制御が特権アクティビティに対して行われている可能性は低くなりますが、脅威アクターは資格情報を悪意を持って追加する可能性もあります。 どちらの場合も、脅威アクターはこれらの資格情報を使用してサービス プリンシパルとして認証し、Microsoft サービス アプリケーションと同じアクセス許可とアクセス権を取得できます。 この初期アクセスは、アプリケーションに高レベルのアクセス許可がある場合に特権エスカレーションにつながる可能性があり、テナント間での横移動が可能になります。 攻撃者は、他のバックドア資格情報を作成することで、データ流出または永続化の確立に進むことができます。
テナント内のこれらのサービス プリンシパルに対して資格情報 (クライアント シークレットや証明書など) が構成されている場合は、管理者または悪意のあるアクターのいずれかのユーザーが環境内で個別に認証を有効にしていることを意味します。 これらの資格情報を調査して、正当性と必要性を判断する必要があります。 不要になった場合は、リスクを軽減するために削除する必要があります。
このチェックに合格しない場合は、未使用の資格情報が構成されているアプリケーションを特定して確認する必要があるため、"調査" することをお勧めします。
修復アクションの
- 追加された資格情報がまだ有効なユース ケースであるかどうかを確認します。 そうでない場合は、セキュリティ リスクを軽減するために、Microsoft サービス アプリケーションから資格情報を削除します。
- Microsoft Entra 管理センターで、 Entra ID>App 登録 に移動し、影響を受けるアプリケーションを選択します。
- [ 証明書とシークレット ] セクションに移動し、不要になった資格情報を削除します。
外部コラボレーション
ゲストは他のゲストを招待できません
外部ユーザー アカウントは、多くの場合、企業とビジネス関係を持つ組織に属するビジネス パートナーへのアクセスを提供するために使用されます。 これらのアカウントが組織内で侵害された場合、攻撃者は有効な資格情報を使用して環境に最初にアクセスできます。多くの場合、正当性のために従来の防御をバイパスできます。
外部ユーザーが他の外部ユーザーのオンボードを許可すると、不正アクセスのリスクが高まります。 攻撃者が外部ユーザーのアカウントを侵害した場合、それを使用してさらに多くの外部アカウントを作成し、アクセス ポイントを乗算し、侵入の検出を困難にすることができます。
修復アクションの
ゲストがディレクトリ オブジェクトへのアクセスを制限している
外部ユーザー アカウントは、多くの場合、企業とビジネス関係を持つ組織に属するビジネス パートナーへのアクセスを提供するために使用されます。 これらのアカウントが組織内で侵害された場合、攻撃者は有効な資格情報を使用して環境に最初にアクセスできます。多くの場合、正当性のために従来の防御をバイパスできます。
ディレクトリ オブジェクトのアクセス許可を読み取るアクセス許可を持つ外部アカウントは、侵害された場合に、攻撃者により広範な初期アクセスを提供します。 これらのアカウントを使用すると、攻撃者は偵察のためにディレクトリから追加情報を収集できます。
修復アクションの
ゲスト アクセスは強力な認証方法によって保護されます
外部ユーザー アカウントは、組織とビジネス関係を持つ組織に属するビジネス パートナーへのアクセスを提供するためによく使用されます。 これらのアカウントが組織内で侵害された場合、攻撃者は有効な資格情報を使用して環境に最初にアクセスできます。多くの場合、正当性のために従来の防御をバイパスできます。
多要素認証 (MFA) がユニバーサルに適用されていない場合、または例外が発生した場合、攻撃者は外部ユーザー アカウントでアクセスする可能性があります。 また、SIM スワップやフィッシングなどのソーシャル エンジニアリング手法を使用して、SMS や電話などの弱い MFA メソッドの脆弱性を悪用して認証コードをインターセプトすることで、アクセスを取得することもできます。
攻撃者は、MFA のないアカウントまたは弱い MFA メソッドを使用したセッションにアクセスすると、MFA 設定 (攻撃者が制御するメソッドの登録など) を操作して、侵害されたアカウントの特権に基づいてさらなる攻撃を計画および実行するための永続化を確立しようとする可能性があります。
修復アクションの
- ゲストの認証強度を適用する条件付きアクセス ポリシーを展開します。
- ビジネス関係が近く、MFA プラクティスに関する審査を行っている組織の場合は、MFA 要求を受け入れるためにテナント間アクセス設定を展開することを検討してください。
送信テナント間アクセス設定が構成されている
未確認の組織との無制限の外部コラボレーションを許可すると、適切なセキュリティ制御を持たない可能性のあるゲスト アカウントが許可されるため、テナントのリスク領域が増加する可能性があります。 脅威アクターは、これらの緩やかに管理された外部テナントの ID を侵害することで、アクセスを試みることができます。 ゲスト アクセスが許可されると、正当なコラボレーション 経路を使用してテナント内のリソースに侵入し、機密情報の取得を試みることができます。 脅威アクターは、正しく構成されていないアクセス許可を悪用して特権をエスカレートし、さまざまな種類の攻撃を試みることもできます。
共同作業を行う組織のセキュリティを確保しないと、悪意のある外部アカウントが検出されずに保持され、機密データが流出し、悪意のあるペイロードが挿入される可能性があります。 この種の露出は、組織の制御を弱め、従来の境界防御をバイパスし、データの整合性と運用の回復性の両方を損なうテナント間攻撃を可能にする可能性があります。 Microsoft Entra の送信アクセスのテナント間設定では、既定で不明な組織とのコラボレーションをブロックする機能が提供され、攻撃対象領域が減少します。
修復アクションの
テナント制限 v2 ポリシーが構成されている
テナント制限 v2 (TRv2) を使用すると、組織は、指定された Microsoft Entra テナントへのアクセスを制限するポリシーを適用し、ローカル アカウントを使用して外部テナントに企業データを不正に流出させるのを防ぐことができます。 TRv2 がないと、脅威アクターがこの脆弱性を悪用する可能性があります。これにより、潜在的なデータ流出とコンプライアンス違反が発生し、その後、外部テナントの制御が弱い場合は資格情報の収集が行われます。 資格情報を取得すると、脅威アクターはこれらの外部テナントへの初期アクセス権を取得できます。 TRv2 は、ユーザーが承認されていないテナントに対して認証されないようにするメカニズムを提供します。 それ以外の場合、脅威アクターは、内部テナントの監視に重点を置いた従来のデータ損失防止コントロールをバイパスする正当なユーザー アクティビティとして表示される一方で、横に移動したり、特権をエスカレートしたり、機密データを流出させる可能性があります。
TRv2 を実装すると、指定されたテナントへのアクセスを制限するポリシーが適用され、認証とデータ アクセスが承認されたテナントのみに限定されるため、これらのリスクが軽減されます。
このチェックに合格した場合、テナントには TRv2 ポリシーが構成されていますが、シナリオをエンドツーエンドで検証するにはさらに多くの手順が必要です。
修復アクションの
モニタリング
診断設定は、すべての Microsoft Entra ログに対して構成されます
Microsoft Entra のアクティビティ ログとレポートは、未承認のアクセス試行を検出したり、テナント構成が変更されたタイミングを特定したりするのに役立ちます。 ログをアーカイブするか、セキュリティ情報イベント管理 (SIEM) ツールと統合すると、セキュリティ チームは強力な監視と検出のセキュリティ制御、プロアクティブな脅威ハンティング、インシデント対応プロセスを実装できます。 ログと監視機能を使用して、テナントの正常性を評価し、コンプライアンスと監査の証拠を提供できます。
ログが定期的にアーカイブされていない場合、またはクエリのために SIEM ツールに送信されない場合は、サインインの問題を調査するのは困難です。 履歴ログが存在しないということは、セキュリティ チームがサインイン試行の失敗、異常なアクティビティ、その他の侵害の兆候のパターンを見逃す可能性があることを意味します。 この可視性の欠如により、侵害がタイムリーに検出されるのを防ぎ、攻撃者は検出されないアクセスを長期間維持することができます。
修復アクションの
- Microsoft Entra 診断設定の構成
- Microsoft Entra ログと Azure Monitor ログを統合
- Microsoft Entra ログをイベント ハブ にストリーミングする
レガシ認証サインイン アクティビティなし
SMTP や IMAP の基本認証などのレガシ認証プロトコルでは、多要素認証 (MFA) などの最新のセキュリティ機能はサポートされていません。これは、未承認のアクセスから保護するために重要です。 この保護の欠如により、これらのプロトコルを使用するアカウントはパスワードベースの攻撃に対して脆弱になり、攻撃者は盗まれた資格情報または推測された資格情報を使用して初期アクセスを取得する手段を提供します。
攻撃者が資格情報への不正アクセスに成功すると、脆弱な認証方法をエントリ ポイントとして使用して、それらを使用してリンクされたサービスにアクセスできます。 レガシ認証を通じてアクセスを取得した攻撃者は、メール転送ルールの構成や他の設定の変更など、Microsoft Exchange に変更を加え、機密性の高い通信への継続的なアクセスを維持できる可能性があります。
また、レガシ認証では、セキュリティ アラートをトリガーしたり、再認証を要求したりすることなく、侵害された資格情報を使用してシステムを再入力する一貫した方法を攻撃者に提供します。
そこから、攻撃者はレガシ プロトコルを使用して、侵害されたアカウントを介してアクセスできる他のシステムにアクセスし、横移動を促進できます。 レガシ プロトコルを使用する攻撃者は、正当なユーザー アクティビティと組み合わせて、セキュリティ チームが通常の使用と悪意のある動作を区別することが困難になります。
修復アクションの
- Exchange で Exchange プロトコルを非アクティブ化できる
- レガシ認証プロトコルは、条件付きアクセス でブロックできます
- レガシ認証ブックを使用してサインインを して、レガシ認証 を無効にしても安全かどうかを判断するのに役立ちます
すべてのユーザー サインイン アクティビティで強力な認証方法が使用される
多要素認証 (MFA) がユニバーサルに適用されていない場合、または例外が発生した場合、攻撃者はアクセスを得る可能性があります。 攻撃者は、ソーシャル エンジニアリング手法を使用して、SMS や電話などの弱い MFA メソッドの脆弱性を悪用してアクセスを取得する可能性があります。 これらの手法には、認証コードをインターセプトするための SIM スワップやフィッシングが含まれる場合があります。
攻撃者は、これらのアカウントをテナントへのエントリ ポイントとして使用する可能性があります。 傍受されたユーザー セッションを使用することで、攻撃者はアクティビティを正当なユーザー アクションとして偽装し、検出を回避し、疑いを引き起こさずに攻撃を続行できます。 そこから、MFA 設定を操作して、侵害されたアカウントの特権に基づいて永続化を確立し、計画し、さらに攻撃を実行しようとする可能性があります。
修復アクションの
- 多要素認証 を展開する
- フィッシングに強いパスワードレス認証の展開 の概要
- 条件付きアクセス ポリシーを展開して認証強度 を適用する
- 認証方法アクティビティの を確認する
リスクの高いユーザーはすべてトリアージされます
Microsoft Entra ID Protection によって高リスクと見なされるユーザーは、脅威アクターによる侵害の可能性が高くなります。 脅威アクターは、侵害された有効なアカウントを介して初期アクセスを取得できます。このアカウントでは、リスク インジケーターをトリガーしているにもかかわらず疑わしいアクティビティが続行されます。 この監視により、通常とは異なるログイン パターンや疑わしい受信トレイ操作など、通常は調査を保証するアクティビティが脅威アクターによって実行されるため、永続化を実現できます。
これらの危険なユーザーのトリアージが不足していると、拡大された偵察アクティビティと横移動が可能になり、異常な動作パターンが引き続き検出されていないアラートを生成します。 脅威アクターは、セキュリティ チームがリスク インジケーターに積極的に対応していないことを示すにつれて、強化されます。
修復アクションの
- Microsoft Entra ID Protection で リスクの高いユーザーを調査する
- 高リスクのユーザーを修復し、Microsoft Entra ID Protection で のブロックを解除する
リスクの高いサインインはすべてトリアージされます
Microsoft Entra ID Protection によってフラグ付けされた危険なサインインは、不正アクセスが試行される可能性が高い可能性を示します。 脅威アクターは、これらのサインインを使用して初期の足掛かりを得ています。 これらのサインインが引き続き承認されていない場合、敵対者は正当なユーザーを装って繰り返し認証することで永続化を確立できます。
応答がない場合、攻撃者は偵察を実行し、アクセスをエスカレートし、通常のパターンにブレンドすることができます。 未調整のサインインがアラートを生成し続け、介入がない場合、敵対者がアクティブなセキュリティ対応がないことを認識するため、セキュリティギャップが広がり、横移動と防御回避が促進されます。
修復アクションの
優先度の高い Entra の推奨事項に対処する
優先順位の高い Microsoft Entra の推奨事項を対処せずにしておくと、組織のセキュリティ体制にギャップが生じ、脅威アクターに既知の弱点を悪用する機会が提供される可能性があります。 これらの項目に対して対処しないと、攻撃対象領域が増加したり、最適でない操作が発生したり、ユーザー エクスペリエンスが低下したりする可能性があります。
修復アクションの
すべての Microsoft Entra の推奨事項に対処する
Microsoft Entra の推奨事項は、ベスト プラクティスを実装し、セキュリティ体制を最適化する機会を組織に提供します。 これらの項目に対して対処しないと、攻撃対象領域が増加したり、最適でない操作が発生したり、ユーザー エクスペリエンスが低下したりする可能性があります。
修復アクションの
- Microsoft Entra 管理センターの でアクティブまたは延期されたすべての推奨事項に対処する
ユーザー サインイン アクティビティでトークン保護を使用する
脅威アクターは、メモリ、正当なデバイス上のローカル ストレージ、またはネットワーク トラフィックを検査することによって、認証トークンを傍受または抽出できます。 攻撃者は、これらのトークンを再生して、ユーザーとデバイスの認証制御をバイパスしたり、機密データへの未承認のアクセスを取得したり、さらに攻撃を実行したりする可能性があります。 これらのトークンは有効で期限切れであるため、従来の異常検出ではアクティビティにフラグを設定できないことがよくあります。これにより、トークンの有効期限が切れるか取り消されるまで、継続的なアクセスが許可される可能性があります。
トークン保護 (トークン バインディングとも呼ばれます) は、トークンが目的のデバイスからのみ使用できることを確認することで、トークンの盗難を防ぐのに役立ちます。 トークン保護では暗号化が使用されるため、クライアント デバイス キーがないと、誰もトークンを使用できなくなります。
修復アクションの
条件付きアクセス ポリシーを作成してトークン保護を設定します。
ID 保護の通知が有効になっている
ID 保護通知を有効にしない場合、脅威アクターがユーザー アカウントを侵害したり、偵察アクティビティを実施したりすると、組織は重大なリアルタイム アラートを失います。 Microsoft Entra ID Protection は、リスクのあるアカウントを検出すると、対象として 検出されたリスクのあるユーザー と共に電子メール アラートを送信し、 リスクのフラグが設定されたユーザー レポートへのリンクを送信します。 これらの通知がなければ、セキュリティ チームはアクティブな脅威を認識し続け、脅威アクターは検出されずに侵害されたアカウントの永続化を維持できます。 これらのリスクを条件付きアクセスなどのツールにフィードしてアクセスの決定を行ったり、調査と相関関係のためにセキュリティ情報およびイベント管理 (SIEM) ツールに送信したりできます。 脅威アクターは、この検出ギャップを使用して、横移動アクティビティ、特権エスカレーションの試行、またはデータ流出操作を行うことができますが、管理者は継続的な侵害を認識し続けます。 遅延応答により、脅威アクターは、問題を解決する前に、より多くの永続化メカニズムを確立したり、ユーザーのアクセス許可を変更したり、機密性の高いリソースにアクセスしたりできます。 リスク検出を事前に通知しない場合、組織はリスク レポートの手動監視のみに依存する必要があります。これによって、ID ベースの攻撃の検出と対応にかかる時間が大幅に増加します。
修復アクションの
無料のセキュリティ機能
Microsoft Entra ID セキュリティの既定値を有効にする
Microsoft Entra Free ライセンスを持つ組織は、ID 関連の攻撃から保護するために、Microsoft Entra でセキュリティの既定値を有効にすることが不可欠です。 これらの攻撃は、不正アクセス、金銭的損失、評判の損害につながる可能性があります。 セキュリティの既定値では、すべてのユーザーが多要素認証 (MFA) に登録し、管理者が MFA を使用していることを確認し、レガシ認証プロトコルをブロックする必要があります。 これにより、MFA を使用してレガシ認証をブロックすることで、99% を超える一般的な ID 関連攻撃が停止されるため、攻撃が成功するリスクが大幅に軽減されます。 セキュリティの既定値では、ベースライン保護が追加コストなしで提供されるため、すべての組織でアクセスできます。
修復アクションの
- Microsoft Entra ID でセキュリティの既定値を有効にする