フェデレーションシングルサインオンの要件は、インターネット経由で認証するためのエンドポイントの可用性です。 インターネット上で認証エンドポイントが利用可能になると、ユーザーが企業ネットワーク上にいなくてもアプリにアクセスできるようになります。
これはまた、一部の悪質な行為者がインターネット上で利用可能なフェデレーション エンドポイントを利用して、これらのエンドポイントを使ってパスワードを割り出そうとしたり、サービス拒否攻撃を仕掛けたりできることを意味します。 このような攻撃の1つには、 より一般的なものがパスワード攻撃と呼ばれるものがあります。
一般的なパスワード攻撃には 2 種類あります。 パスワードスプレー攻撃 & によるブルートフォースパスワード攻撃。
パスワード スプレー攻撃
パスワードスプレー攻撃では、これらの悪意のあるアクターは、さまざまなアカウントやサービスで最も一般的なパスワードを試して、検出可能なパスワードで保護された資産にアクセスします。 通常、これらは多くの異なる組織および ID プロバイダーにまたがります。 たとえば、攻撃者は、一般的に利用可能なツールキットを使用して複数の組織内のすべてのユーザーを列挙した後、これらのすべてのアカウントに対して "P$$@w0rD" と "Password1" を試してみます。 アイデアを得るために、攻撃は次のようになります:
| ターゲット ユーザー | ターゲットパスワード |
|---|---|
| User1@org1.com | Password1 |
| User2@org1.com | Password1 |
| User1@org2.com | Password1 |
| User2@org2.com | Password1 |
| … | … |
| User1@org1.com | P$$@w0rD |
| User2@org1.com | P$$@w0rD |
| User1@org2.com | P$$@w0rD |
| User2@org2.com | P$$@w0rD |
この攻撃パターンは、個々のユーザーまたは企業の視点ポイントから、攻撃が失敗した分離されたログインのようなものであるため、ほとんどの検出手法をすり抜けます。
攻撃者にとっては、数字の勝負であり、よく使われるパスワードが複数あることを把握しています。 攻撃者は、数千のアカウントが攻撃を受けた場合に成功します。 これらのアカウントを使用して、電子メールからデータを取得したり、連絡先情報を取得したり、フィッシングリンクを送信したり、パスワードスプレーターゲットグループだけを展開したりします。 攻撃者は、これらの最初のターゲットがだれであるかについてはあまり気にしません。攻撃者は利用できるいくつかの成功をおさめているだけです。
ただし、AD FS とネットワークを正しく構成するためにいくつかの手順を実行することで、AD FS エンドポイントをこれらの種類の攻撃に対してセキュリティで保護することができます。 この記事では、これらの攻撃から保護するために適切に構成する必要がある3つの領域について説明します。
ブルート フォース パスワード攻撃
この種の攻撃では、攻撃者は、対象となるアカウントのセットに対して複数のパスワードを試行します。 多くの場合、これらのアカウントは、組織内のより高いレベルのアクセス権を持つユーザーをターゲットとします。 これは、組織内の経営幹部や、重要なインフラストラクチャを管理する管理者である場合があります。
この種の攻撃によって、DOS パターンが生じる可能性もあります。 これは、AD FS がサーバーの台数が不足しているため、大量のリクエストを処理できないサービスレ レベルで起こり得ます。 これは、ユーザーが自分自身のアカウントからロック アウトされるようなユーザー レベルである可能性があります。
パスワード攻撃に対する AD FS のセキュリティ保護
ただし、AD FS とネットワークを正しく構成するためにいくつかの手順を実行することで、AD FS エンドポイントをこれらの種類の攻撃に対してセキュリティで保護することができます。 この記事では、これらの攻撃から保護するために適切に構成する必要がある3つの領域について説明します。
- レベル 1、ベースライン: これは、AD FS サーバー上で構成される必要のある基本的な設定であり、悪意ある行為者がフェデレーション ユーザーをブルート フォース アタックできないようにします。
- レベル 2、エクストラネットの保護: セキュリティで保護されたプロトコル、認証ポリシー、および適切なアプリケーションを使用するようにエクストラネット アクセスが構成されていることを保証するために、これらの設定を構成する必要があります。
- レベル 3、エクストラネット アクセスをパスワードレス化: 攻撃を受けやすいパスワードではなく、より安全な資格情報を使用してフェデレーション リソースにアクセスできるようにするための、高度な設定とガイドラインです。
レベル 1: ベースライン
AD FS 2016 では エクストラネット スマート ロックアウトを実装し、 頻繁に使用するロケーションを追跡し、そのロケーションから以前ログインに成功したことがある場合に、有効なユーザーの通過を許可します。 エクストラネット スマート ロックアウトを使用することで、悪質な行為者によるユーザーへのブルート フォース アタックを防ぐのと同時に、正当なユーザーの生産性を高めることができます。
AD FS 2016 をご利用でない場合は、AD FS 2016 への アップグレード を強く推奨します。 AD FS 2012 R2 からのアップグレードはシンプルです。 AD FS 2012 R2 をご利用の場合は、 エクストラネット ロックアウトを実装します。 この方法の欠点の1つは、ブルートフォースパターンを使用している場合に、有効なユーザーがエクストラネットアクセスをブロックする可能性があることです。 Server 2016 の AD FS には、このデメリットはありません。
疑わしい IP アドレスを&ブロックするモニタ
Microsoft Entra ID P1 または P2 を使用している場合は、Connect Health for AD FS を実装し、提供される Risky IP レポート 通知を使用します。
a. ライセンスはすべてのユーザーに対してではなく、AD FS/WAP サーバー 1 台につき 25 ライセンスが必要ですが、顧客にとっては簡単なことかもしれません。
b。 これで、頻繁にログインの失敗を引き起こしている IP を調査できるようになりました。
c. この操作を行うには、AD FS サーバーで監査を有効にする必要があります。
疑わしい IP をブロックします。 これにより、DOS 攻撃をブロックする可能性があります。
a. 2016の場合は、 エクストラネットの禁止 IP アドレス 機能を使用して、#3 によってフラグが設定された IP (または手動分析) からの要求をブロックします。
b。 AD FS 2012 R2 以下を使用している場合は、Exchange Online で IP アドレスを直接ブロックし、必要に応じてファイアウォールでブロックします。
Microsoft Entra ID P1 または P2 をご利用の場合、Microsoft Entra Password Protection を使用して、推測可能なパスワードが Microsoft Entra ID で使われるのを防ぎます。
a. 推測可能なパスワードであれば、1 回~ 3 回の試行で突破される可能性があります。 この機能により、これらの設定が行われなくなります。
b。 プレビューの統計からは、新しいパスワードの約 20 ~ 50% が設定されるのをブロックします。 これは、ユーザーの% がパスワードを推測しやすいという脆弱性を持つことを意味します。
レベル 2: エクストラネットを保護する
エクストラネットからアクセスするすべてのクライアントの最新の認証に移行します。 メール クライアントがその大部分を占めています。
a. モバイル デバイス向けの Outlook Mobile を使用する必要があります。 新しい iOS ネイティブメールアプリでは、先進認証もサポートされています。
b。 Outlook 2013 (最新の CU パッチを使用) または Outlook 2016 を使用する必要があります。
すべてのエクストラネット アクセスに対して MFA を有効にします。 これにより、すべてのエクストラネットアクセスの保護が追加されます。
a. Microsoft Entra ID P1 または P2 をご利用の場合、Microsoft Entra 条件付きアクセス ポリシー を使用してこれを制御します。 これは、AD FS で規則を実装するよりも優れています。 これは、最新のクライアント アプリがより頻繁に適用されるためです。 この現象は、Microsoft Entra ID で更新トークンを使用して新しいアクセス トークンを要求するとき (通常は 1 時間ごと) に発生します。
b。 Microsoft Entra ID P1 または P2 をご利用出ない場合、もしくはインターネット ベースのアクセスを許可する AD FS 上の追加アプリがある場合、Microsoft Entra 多要素認証を実装し、すべてのエクストラネット アクセスに対して グローバル多要素認証ポリシー を構成します。
レベル 3: エクストラネット アクセスをパスワードレス化する
Window 10に移動し、 Hello For businessを使用します。
その他のデバイスについては、AD FS 2016 上であれば Microsoft Entra 多要素認証 OTP を第 1 要素として、パスワードを第 2 要素として使用することができます。
モバイル デバイスの場合、MDM で管理されているデバイスのみを許可する場合は、 証明書 を使用してユーザーを記録できます。
緊急処理
AD FS 環境がアクティブな攻撃を受けている場合は、次の手順を最も早い段階で実装する必要があります:
- AD FS のユーザー名とパスワードのエンドポイントを無効にし、ネットワークにアクセスしたり、ネットワークを利用するには、全員が VPN を使用するよう要求します。 そのためには、ステップ レベル 2 #1aを 完了している必要があります。 そうしないと、内部のすべての Outlook 要求は、引き続き EXO proxy auth を介してクラウド経由でルーティングされます。
- 攻撃が EXO 経由でのみ発生している場合は、認証ポリシーを使用して Exchange プロトコル (POP、IMAP、 SMTP、EWS など) の基本認証を無効にできます。これらのプロトコルと認証方法は、この種の攻撃の大部分で使用されています。 さらに、EXO のクライアント アクセス規則とメールボックスごとのプロトコルの有効化は、認証後に評価され、攻撃の軽減には役立たされません。
- レベル 3 の #1 ~ 3を使用してエクストラネット アクセスを選択的に提供します。