新攻撃手法「Silver SAML」発見、Microsoft認証システムに潜むリスク露呈

新攻撃手法「Silver SAML」発見、Microsoft認証システムに潜むリスク露呈 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-25 09:38 by admin

サイバーセキュリティ研究者たちは、Golden SAML攻撃に対する緩和策が適用された場合でも成功する可能性がある新しい攻撃手法「Silver SAML」を明らかにした。Silver SAMLは、Entra IDのようなアイデンティティプロバイダーから、Salesforceなどの認証に使用されるアプリケーションに対して攻撃を開始するためのSAMLの悪用を可能にする。Golden SAMLは、2017年にCyberArkによって初めて文書化され、組織内のほぼ任意のアイデンティティを偽装するために相互運用可能な認証標準を悪用する攻撃ベクトルである。実際の攻撃は稀であったが、SolarWindsのインフラストラクチャの妥協により、SAMLトークン署名証明書が侵害されたことにより、SAMLトークンを偽造して管理アクセスを得た最初の記録された使用例がある。また、2023年3月の侵入で、イランの脅威アクターであるPeach SandstormがGolden SAMLを武器化し、パスワードなしで未公開の対象のクラウドリソースにアクセスしたことが、2023年9月にMicrosoftによって明らかにされた。

Silver SAMLは、Microsoft Entra ID(旧Azure Active Directory)のようなアイデンティティプロバイダー(IdP)で機能し、Active Directory Federation Services(AD FS)へのアクセスを必要としないGolden SAMLの新しいアプローチである。組織に対して中程度の重大度の脅威と評価されている。Entra ID内で、MicrosoftはSAML応答署名用の自己署名証明書を提供している。しかし、Oktaなどから外部で生成された証明書を使用するオプションは、セキュリティリスクを導入する。外部で生成された証明書の秘密鍵を取得した攻撃者は、任意のSAML応答を偽造し、その応答をEntra IDが保持する同じ秘密鍵で署名することができる。このタイプの偽造されたSAML応答を使用して、攻撃者は任意のユーザーとしてアプリケーションにアクセスできる。

Microsoftに対して2024年1月2日に責任を持って開示された後、同社はこの問題が即時の対応を必要とする基準を満たしていないと述べたが、顧客を保護するために必要に応じて適切な行動を取ると述べた。Silver SAMLが野生で悪用された証拠はないが、組織はSAML署名目的でEntra ID自己署名証明書のみを使用することが求められる。Semperisは、カスタムSAML応答を作成するためのプルーフ・オブ・コンセプト(PoC)であるSilverSAMLForgerも提供している。組織は、ApplicationManagementの下でPreferredTokenSigningKeyThumbprintの変更をEntra ID監査ログで監視することができる。証明書の有効期限が切れた回転は一般的なプロセスであるため、監査イベントが正当であるかどうかを判断する必要がある。回転を文書化する変更管理プロセスの実装は、回転中の混乱を最小限に抑えるのに役立つ。

【ニュース解説】

サイバーセキュリティの研究者たちが、新たな攻撃手法「Silver SAML」を発見しました。この手法は、既存のGolden SAML攻撃に対する防御策を回避することが可能であり、特にMicrosoft Entra IDのようなアイデンティティプロバイダー(IdP)を利用する際に、Salesforceなどの認証に使用されるアプリケーションに対して攻撃を行うことができます。

Golden SAML攻撃は、2017年に初めて文書化され、組織内のほぼ任意のアイデンティティを偽装するために相互運用可能な認証標準を悪用するものでした。しかし、Silver SAMLは、AD FS(Active Directory Federation Services)へのアクセスを必要とせず、IdPであるMicrosoft Entra IDを利用して攻撃を行う新しいアプローチです。

この攻撃手法の危険性は、外部で生成された証明書の秘密鍵を攻撃者が取得することにより、任意のSAML応答を偽造し、その応答をEntra IDが保持する同じ秘密鍵で署名できる点にあります。これにより、攻撃者は任意のユーザーとしてアプリケーションにアクセスすることが可能になります。

Microsoftによると、この問題は即時の対応を必要とする基準を満たしていないとのことですが、顧客を保護するために必要に応じて適切な行動を取るとしています。また、Silver SAMLが実際に悪用された証拠はまだありませんが、組織はSAML署名目的でEntra ID自己署名証明書のみを使用することが推奨されています。

この攻撃手法の発見は、サイバーセキュリティの分野において、認証プロセスの安全性を再評価するきっかけとなります。また、組織は、証明書の管理と監査プロセスを強化し、不正なアクセスやデータ漏洩のリスクを最小限に抑えるための対策を講じる必要があります。長期的には、より安全な認証方法の開発や、既存の認証プロトコルの改善が求められるでしょう。ポジティブな側面としては、このような攻撃手法の発見がセキュリティコミュニティに警鐘を鳴らし、より堅牢なセキュリティ対策の開発を促進することに繋がる可能性があります。しかし、一方で、攻撃者が新たな手法を用いて防御策を回避する能力を持つことは、組織にとって常に脅威となります。したがって、セキュリティ対策は常に進化し続ける必要があります。

from New Silver SAML Attack Evades Golden SAML Defenses in Identity Systems.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 新攻撃手法「Silver SAML」発見、Microsoft認証システムに潜むリスク露呈

“新攻撃手法「Silver SAML」発見、Microsoft認証システムに潜むリスク露呈” への1件のコメント

  1. 佐藤 智恵のアバター
    佐藤 智恵

    サイバーセキュリティの分野で新たに「Silver SAML」という攻撃手法が発見されたことは、現代社会における情報セキュリティの脆弱性を改めて浮き彫りにする出来事です。特に、既存の「Golden SAML」攻撃への対策を回避する能力を持つという点で、企業や組織にとって重大な警鐘を鳴らしています。このような攻撃手法は、アイデンティティプロバイダーを利用して正規のユーザーを偽装し、重要な情報にアクセスする能力を持っています。そのため、個人情報の保護や企業の機密情報の管理に対するリスクが高まり、社会全体の信頼性を損なう可能性があります。

    Microsoftがこの問題を「即時の対応を必要とする基準を満たしていない」と評価していることには、少々懸念を感じます。確かに、現在のところ実際に「Silver SAML」が悪用された証拠は見つかっていないかもしれませんが、このような攻撃手法が存在すること自体がセキュリティに対する脅威です。技術の進歩と共に、攻撃者もまた新たな手法を開発し続けるため、企業や組織は常に警戒を怠らず、セキュリティ対策を更新し続ける必要があります。

    この問題を通じ