この記事は、 Microsoft Entra ID でのトークンの理解の継続です。 この記事では、Microsoft Entra ID でトークンを理解していることを前提とし、環境内でトークンの盗難/リプレイ攻撃が成功するリスクを軽減するために実行できる具体的な手順を示します。
この記事の推奨事項は、さまざまなライセンス要件を持つ複数の Microsoft テクノロジ ソリューションにまたがっています。 次の目的で適切なライセンスが付与されていることを確認します。
- 条件付きアクセス
- Microsoft サービス向けの Microsoft Entra Internet Access
- Microsoft Entra ID Protection
- トークン保護
- Microsoft Intune (最小プラン 1)
- Microsoft Defender for Endpoint XDR
トークンの盗難に対する多層防御戦略
攻撃対象領域を減らし、トークン侵害が成功するリスクを軽減するために有効にできる機能がいくつかあります。 次のセクションでは、次の 3 つのカテゴリのいずれかに分類される多くの Microsoft セキュリティ機能について説明します。
- リスクを最小限に抑える: 攻撃面を強化または減少させ、トークンの盗難を成功させるのがより困難になります。
- 検出 + 軽減: 成功したトークンの盗難を検出し、可能であれば自動軽減策を構成します。
- 再生からの保護: 再生をブロックするか、トークンの盗難が成功した場合の影響を軽減します。
次に、トークン盗難防止戦略の一環として組織が重点を置く必要がある主要な領域を把握した概要を示します。
トークン盗難 – リスクを最小限に抑える
トークン盗難のインシデントを未然に防ぐことは、組織を守るための最も効果的な方法です。 組織は、Microsoft Defender for Endpoint と Microsoft Intune を使用して、デバイス ベースのトークン流出方法に対してデバイスを強化する必要があります。 また、組織は、ユーザーがインターネット上の悪意のある、または危険な宛先にアクセスするのを防ぐために、コントロールを展開する必要があります。
デバイスを強化する
次の構成と展開を実行して、すべてのデバイス/エンドポイントをマルウェアベースのトークン盗難に対する防御の最前線として強化します。 開始する前に、デバイスが Intune に登録されていること、および Microsoft Defender for Endpoint が展開されていることを確認します。
| コントロール | Windows 10/11 | macOS | Linux |
|---|---|---|---|
| Microsoft Defender ウイルス対策の常時オン保護を有効に して、リアルタイムの保護、動作の監視、ヒューリスティックを有効にして、既知の疑わしいアクティビティと悪意のあるアクティビティに基づいてマルウェアを特定します。 | X | X | X |
| Microsoft Defender ウイルス対策クラウド保護を有効に して、エンドポイントやネットワーク上のマルウェアから保護します。 | X | X | X |
| Microsoft Defender for Endpoint でネットワーク保護を有効に して、悪意のあるサイトや疑わしいサイトへの接続を防ぐことで、特定のインターネット ベースのイベントからデバイスを保護します。 | X | X | X |
| Microsoft Defender for Endpoint で改ざん防止を有効に して、ウイルスや脅威の防止などの特定のセキュリティ設定が無効または変更されないように保護します。 | X | X | - |
| Intune でデバイス コンプライアンス ポリシーを作成し、Microsoft Defender for Endpoint によるマシン リスク レベルの指定が「低」または「クリーン」であることをコンプライアンス条件とします。 | X | X | - |
デバイスのセキュリティ強化ポリシーが適用されている場合でも、組織は、ユーザーが準拠しているデバイスを使用してすべてのリソースにアクセスすることを要求する条件付きアクセス ポリシーを作成する必要があります。 これにより、デバイスがデバイスのセキュリティを強化する構成が正常に展開され、ユーザーがアンマネージド デバイスまたは安全でないデバイスからアプリケーションやリソースにアクセスできなくなります。
Windows のその他の構成
- Credential Guard を構成 してローカル セキュリティ機関を分離し、メモリからの資格情報の盗難から保護します。
- Windows 登録証明書の報告書を確認してください。 Windows デバイスが TPM 要件を満たしていることを検証します。 TPM 構成証明に失敗したデバイスで是正措置を講じてください。
macOS のその他の構成
- Microsoft Intune との iCloud キーチェーン同期を無効に して、キーチェーンに格納される可能性がある Entra トークンの同期を防ぎます。
- Apple デバイス用の Microsoft Enterprise SSO プラグイン を有効にして、Enterprise Apps が認証にプライマリ更新トークン (PRT) を利用できるようにします。
- macOS デバイス (セキュリティで保護されたエンクレーブ) のプラットフォーム SSO を構成し、ハードウェア バインド暗号化キーを使用して Mac デバイスに対してセキュリティで保護されたフィッシング対策認証を提供します。
モバイル デバイスを強化する
iOS や Android などのモバイル デバイスは、 モバイル脅威防御を使用して強化できます。 モバイル脅威防御には、侵害されたデバイスから保護できるさまざまな機能と、最初にマルウェアがインストールされるのを妨げる可能性がある Web 脅威が含まれており、キル チェーンの早い段階でトークン流出 (およびその他の脅威) を防ぐことができます。
Microsoft Defender XDR 攻撃の中断
敵対者の中間 (AiTM) は、Microsoft Defender XDR 攻撃の中断の対象となるシナリオであり、攻撃のキル チェーンの早い段階で調整された脅威防御を提供します。 すべての Defender XDR ワークロード (Defender for Identity、Defender for Office、Defender for Cloud Apps) を展開し、文書化されているすべての 前提条件と構成に従って、Microsoft Defender XDR で攻撃の中断が構成されていることを確認します。 攻撃の中断は、初期段階で AiTM 攻撃を検出し、エンドポイントと ID にセキュリティ制御を自動的に軽減することで攻撃を中断します。
インターネットの脅威に対するセキュリティ強化
Microsoft Edge を使用する組織では、 Microsoft Defender SmartScreen を有効にする必要があります。 Microsoft Defender SmartScreen は、フィッシング攻撃に関係している可能性のある Web サイトや、集中的な攻撃によってマルウェアを配布しようとしている Web サイトに対抗する、早期警告システムの提供に役立ちます。
Microsoft Entra Internet Access は、インターネット全体をカバーするより多くの保護を提供します。 組織は、グローバル セキュア アクセス (GSA) クライアントを管理対象デバイスに展開し、 Web コンテンツ フィルタリングを使用して悪意のある Web コンテンツや承認されていない Web コンテンツをブロックできます。 これにより、ユーザーが悪意のある Web サイトに移動する可能性が低くなります。これにより、マルウェアがインストールされたり、デバイスが侵害されたりする可能性があります。 管理者は、少なくとも 、違法なソフトウェア カテゴリをブロックする必要がありますが、すべての 責任 Web カテゴリのブロックも確認して検討する必要があります。
デバイス コード フローの使用を制限する
デバイス コード フローは、入力機能が制限されているデバイスや Web ブラウザーがないデバイスに特に役立ちます。 ただし、デバイス コード フローは、フィッシング攻撃の一部として、またはアンマネージド デバイス上の企業リソースにアクセスするために使用できます。 デバイス コード フロー制御は、条件付きアクセス ポリシーの他の制御と共に構成することができます。 たとえば、デバイス コード フローが Android ベースの会議室デバイスに使用されている場合は、特定のネットワークの場所にある Android デバイスを除くすべての場所でデバイス コード フローをブロックすることを選択できます。
デバイス コード フローを許可するのは必要な場所においてだけにする必要があります。 Microsoft は、可能な限りデバイス コード フローをブロックすることを推奨しています。
トークンの盗難 - 検出と軽減
組織は、成功または試行されたトークン盗難攻撃を積極的に監視する必要があります。 トークンの盗難やアカウント侵害の可能性を示すさまざまな Microsoft 製品から生成されるアラートが多数あります。 これらの検出の概要を次に示します。 SIEM を使用して特定されたトークンの盗難を監視、検出、対応する方法の詳細なガイドについては、 トークン盗難プレイブックを参照してください。
条件付きアクセス ポリシー
組織では、次の条件付きアクセス ポリシーを構成する必要があります。
- 機密性の高い操作 (認証コンテキスト) に対話型の再認証を要求する
- 危険なサインインに対話型認証を要求する
- リスクの高いユーザーを検出して修復する
これらの条件付きアクセス ポリシーは、より自動化されたトークン盗難の修復を提供したり、トークンベースの攻撃で使用できる他の脅威ベクトルに対処したりします。
機密性の高い操作に対話型の再認証を要求する
組織は、認証コンテキストを使用して特定のアクションを構成して、通常の認証フロー以外の条件付きアクセス ポリシーの評価をトリガーできます。 たとえば、管理者が Privileged Identity Management (PIM) でロールをアクティブ化したとき、またはユーザーがアプリケーション内で特定のアクションを実行したときに評価するように条件付きアクセス ポリシーを構成できます。 管理者は、機密性が高いと見なされる認証コンテキスト アクションに対して、対話型のフィッシング耐性認証 (サインイン頻度を毎回設定) を必要とする条件付きアクセス ポリシーを構成する必要があります。 攻撃者が再認証できない場合、アクセスは拒否され、盗まれたサインイン セッションが機密性の高い操作を完了するために使用されるのを防ぎます。
条件付きアクセスで認証コンテキストを構成する方法について説明します。
アプリケーションで認証コンテキストを使用する方法について説明します (開発者向けガイダンス)。
危険なサインインに対話型認証を要求する
Microsoft Defender for Endpoint からのより多くの検出によって強化された Entra ID Identity Protection を使用すると、Entra ID は疑わしいサインイン試行をリアルタイムで検出できます。 たとえば、攻撃者が更新トークンを盗んで再生しようとした場合、Entra ID Identity Protection はサインインに未知のプロパティがあることを識別し、このイベントのサインイン リスク レベルを高める可能性があります。 管理者は、中以上のサインイン リスク レベルに対して対話型のフィッシング耐性認証 (サインイン頻度を毎回設定) を必要とする条件付きアクセス ポリシーを構成する必要があります。 攻撃者が再認証できない場合、アクセスは拒否され、盗まれたサインイン セッションが不正アクセスの取得または拡張に使用されるのを防ぎます。
条件付きアクセス ポリシー Risk-Based 構成する方法について説明します。
リスクの高いユーザーを検出して修復する
Microsoft Defender for Endpoint からのより多くの検出によって強化された Entra ID Identity Protection を使用すると、Entra ID はすべてのアカウントに対してユーザー リスク スコアを生成し、アカウントが侵害されたかどうかに関する確実性のレベルを示します。 Entra ID または Microsoft Defender for Endpoint がトークンの盗難に成功した兆候を検出した場合、ユーザーのリスク スコアが [高] に設定される可能性が 高くなります。 これが発生した場合、アカウントを自動的にブロックまたは修復し (セキュリティで保護されたパスワードの変更など)、敵対者が未承認のアクセスをこれ以上悪用できないようにすることができます。
継続的アクセス評価をサポートするアプリケーションは、ユーザー リスクが高い場合にほぼリアルタイムでアクセスを自動的に取り消し、再認証と再認証のために Entra ID にリダイレクトを発行します。
条件付きアクセス ポリシー Risk-Based 構成する方法について説明します。
Microsoft Defender XDR
Defender XDR ワークロードを展開して、トークンの盗難に関する疑わしい動作や異常な動作に関するアラートを生成します。
- Defender for Office 365 を使用して、悪意のあるメール、リンク、ファイルを検出してブロックする
- Microsoft Defender for Cloud Apps コネクタを使用すると、Microsoft 365 Defender は複数のシナリオで AiTM 関連のアラートを生成します。 Microsoft Edge を使用している Entra ID のお客様の場合、攻撃者がセッション Cookie を再生してクラウド アプリケーションにアクセスしようとすると、Defender for Cloud Apps コネクタによって Office 365 と Azure が検出されます。
Defender for Cloud Apps コネクタと Defender for Endpoint を使用する場合、Microsoft Defender XDR は次のアラートを発生させることができます。
- 盗まれたセッション Cookie が使用されました
- AiTM フィッシングの試行の可能性
その他の検出
- 異常なトークン
- 中間攻撃者
- 通常とは異なるサインイン プロパティ
Microsoft Defender for Office 365 の検出
- 配信後に削除された悪意のあるファイルを含む電子メール メッセージ
- 配信後に削除されたキャンペーンからのメール メッセージ
- 悪意のある可能性がある URL のクリックが検出された
- ユーザーが悪意のある可能性がある URL をクリックしました。
Microsoft Defender for Cloud Apps の異常検出
- あり得ない旅行活動
- ほとんどアクセスがない国からのアクティビティ
Microsoft Defender XDR Business Email Compromise の軽減策
- Business Email Compromise (BEC) 関連の資格情報収集攻撃
- BEC 関連ユーザーから送信された疑わしいフィッシングメール
トークン盗難 - リプレイから保護
敵対者がトークンを盗むことに成功した場合、組織は特定の機能を有効にして、自動的に盗まれたトークンの使用を防ぎ、攻撃を阻止することができます。 これらの機能には、次のものが含まれます。
- 条件付きアクセスでのトークン保護をセキュリティで保護されたサインイン セッションに適用する
- アクセスの強制は、セキュリティで保護されたネットワーク経由でのみ許可されます
トークン保護を適用する
Entra プライマリ更新トークン
Entra 参加済みまたは Entra 登録済みのデバイスの場合、Entra ID は、アプリケーション SSO (プライマリ更新トークン (PRT) とも呼ばれます) に使用されるマルチアプリケーション更新トークンを生成します。
プライマリ更新トークン (PRT) は、PRT と PRT が発行されるデバイス (クライアント シークレット) との間の暗号化によってセキュリティで保護されます。 Windows デバイスでは、クライアント シークレットはトラステッド プラットフォーム モジュール (TPM) などのプラットフォーム固有のハードウェアに安全に格納されます。 現在、Windows 以外のデバイスでは、シークレットがソフトウェアに格納されています。
条件付きアクセスでのトークン保護
条件付きアクセスでトークン保護を適用すると、デバイスに暗号化的にバインドされた更新トークンのみが使用されます。 任意のデバイスから使用できるベアラー更新トークンは自動的に拒否されます。 このメソッドは、最初に発行されたデバイスからのみトークンを使用できるため、サインイン セッションを保護するための最高レベルのセキュリティを提供します。 この投稿の公開時点では、条件付きアクセスのトークン保護は、Microsoft Teams、SharePoint、Exchange に接続する Windows ネイティブ アプリケーションで使用できます。 プラットフォーム、アプリケーション、リソースの追加サポートを追加することで、トークン保護の範囲を拡大するために継続的に取り組んでいます。 サポートされているアプリとリソースの更新された一覧については、この記事を参照してください。 Microsoft Entra 条件付きアクセスでのトークン保護 - Microsoft Entra ID |Microsoft Learn。
組織は、サポートされているすべてのアプリケーション、デバイス、プラットフォームにトークン保護をパイロットして展開することをお勧めします。 トークン保護をサポートしていないアプリケーションは、ネットワーク ベースのポリシーなどの他のポリシーで保護する必要があります。
詳細については、次の記事を参照してください。デプロイ ガイダンスを取得します。 トークン保護を構成する方法について説明します。
注
条件付きアクセスでのトークン保護には、PRT の使用が必要です。 登録されていないデバイスの使用などのシナリオは、これらのデバイスに PRT がないため利用できません。
注
Entra Token Protection は、デバイスにサインインしたユーザーにのみ適用されます。 たとえば、標準アカウントを使用して Windows デバイスのロックを解除した後、別のアカウントで認証されているリソースにアクセスする場合、有効な PRT がないため、後者の ID を Entra Token Protection で保護することはできません。
ネットワークベースの制御を実装する
Entra Token Protection はサインイン セッション トークンを保護する最も安全な方法ですが、アプリケーションの対象範囲は制限されており、デバイスにサインインしたユーザーにのみ適用されます。 攻撃対象領域をさらに減らすために、組織はネットワークベースの適用ポリシーを実装できます。これにより、多くの場合、すべてのエンタープライズ アプリを対象とする、より広範なアプリケーションをカバーできます。 ネットワーク ベースのポリシーでは、デバイスにサインインしているユーザー以外の追加の ID もカバーできます。
ネットワークベースのポリシーにより、サインイン セッションのアーティファクト (更新トークンなど) が指定されたネットワークの外部で再生されるのを防ぎ、トークンの盗難や、組織の境界を超えてサインイン セッションを流出させるリプレイ攻撃を効果的に防ぎます。 内部の脅威ベクトルは、同じネットワークへのアクセスによって引き続きリスクを引き起こす可能性がある一方で、脅威アクターが組織の境界内で動作することを強制すると、他のセキュリティ制御によって脅威を検出して軽減する可能性が大幅に高まります。
さらに、継続的アクセス評価をサポートするアプリケーションなどの特定のシナリオでは、これらの対策は、アクセス トークンのようなアプリケーション セッション トークンの盗難や再生を軽減する効果的な方法にもなります。
グローバル セキュリティで保護されたアクセスを使用してサインイン セッションを保護する
組織は、グローバル セキュリティで保護されたアクセスを展開して、クライアント デバイスとリソース (準拠ネットワークとも呼ばれます) の間にセキュリティで保護されたネットワーク接続を確立する必要があります。 管理者は、Entra ID と統合されたエンタープライズ アプリにアクセスするための準拠ネットワークの使用を義務付ける条件付きアクセス ポリシーを作成できます。 このメジャーにより、組織で管理されていないデバイスからのサインイン セッション成果物の再生が防止されます。
従来のネットワーク 制御を使用してサインイン セッションを保護する
準拠しているネットワーク チェックの代わりに、組織は VPN などの従来のネットワーク ソリューションを利用してサインイン セッションを保護できます。 管理者は、認証の試行を特定のエグレス IP アドレスに制限する場所ベースの条件付きアクセス ポリシーを作成できます。 ただし、組織は、企業ネットワークを介したトラフィックのルーティングに関連するパフォーマンスへの影響とコストを考慮する必要があります。 そのため、Microsoft では、完全にセキュリティで保護されたグローバル分散 Security Service Edge ソリューションである Global Secure Access を使用することをお勧めします。
Entra ID を使用して場所ベースの条件付きアクセス ポリシーを構成する方法について説明します。
ネットワーク ベースの対策によるアプリ セッションの保護
特定のエグレス IP アドレスへのアクセスを制限する場所ベースの条件付きアクセス ポリシーを作成することで、組織はアプリ セッションの一部を保護することもできます。 SharePoint Online や Exchange Online などの Microsoft アプリケーションのサブセットは、 継続的アクセス評価 (CAE) プロトコルを使用します。 CAE 対応アプリは、ネットワーク ベースの適用を評価し、信頼されたネットワークの外部で再生されたアプリ セッション成果物をほぼリアルタイムで取り消します。 組織は、CAE 対応アプリのトラフィックに信頼されたネットワークからのみアクセスできるように 、CAE で厳密な場所ポリシーを構成 することで、IP ベースのネットワークの適用をさらに強化できます。
CAE 対応ではないアプリケーションの場合、組織はアプリケーション側で使用可能なコントロールを使用してアプリ セッションを保護できます。 たとえば、一部のアプリケーションでは、ID プロバイダー (IdP) によって適用されるアプリケーションレイヤーに加えて、IP ベースの適用がサポートされています。 その後、アプリケーションは、信頼されたネットワークの外部で使用されているアプリ セッション成果物の使用を拒否します。 会社所有のネットワークを介したアプリ固有のトラフィックのトンネリングは、グローバル セキュア アクセスを使用したソース IP アンカーと、VPN などの他の従来のネットワーク ソリューションを使用して実現できます。
グローバル セキュリティで保護されたアクセスを使用したソース IP アンカーについて説明します。
トークン保護戦略の概要
要約すると、Microsoft Entra でトークンを保護するには、トークンの盗難やリプレイ攻撃から保護するための多層防御戦略が含まれます。 これには、マルウェアに対するデバイスの強化、デバイスベースおよびリスクベースの条件付きアクセスの活用、デバイス バインド トークンの適用、ネットワーク ベースの強制の実装が含まれます。 さらに、組織はフィッシングに強い多要素認証を展開し、疑わしいサインイン試行を監視し、機密性の高い操作の再認証を要求するように条件付きアクセス ポリシーを構成する必要があります。 これらのガイドラインに従うことで、組織は不正アクセスのリスクを大幅に軽減し、サインイン セッションとアプリ セッションのセキュリティを確保できます。