Last Updated on 2024-09-18 05:34 by admin
認証トークンは、サイバーセキュリティにおいて重要な役割を果たしています。これらのデジタル識別子は、アプリケーションの検証やネットワーク、SaaSアプリケーション、クラウドコンピューティング、およびIdPシステムやSSOへの安全な認証ログインを可能にするログイン認証データをカプセル化します。トークンの寿命は、セキュリティと従業員の利便性の間でトレードオフを提供するために利用されますが、脅威アクターは、AitM攻撃やパス・ザ・クッキー攻撃を通じてこれらのトークンを取得しています。個人デバイスもブラウザキャッシュを持っていますが、企業システムのセキュリティ厳格性を通過する必要はありません。これらのデバイスは、脅威アクターによってトークンが直接キャプチャされやすくなっています。一度トークンを手に入れた脅威アクターは、ユーザーに付与された権限や認証を利用できます。セッショントークンの有効期限を頻繁に設定することは、これらの攻撃を防ぐことはできませんが、トークンが機能する機会の窓を短縮することでリスクフットプリントを大幅に最小限に抑えることができます。
昨年、認証トークンが関与するいくつかの侵害事例がニュースになりました。2件のケースでは、IdPトークンが侵害されました。Oktaでは、個人のGmailアカウントの侵害により、9月28日から10月17日まで脅威アクターがシステム内にいたと報告されています。また、2023年11月23日には、CloudflareがOktaの侵害からのセッショントークンを使用して自社システムを狙った脅威アクターを検出しました。これは、これらのセッショントークンがOktaの侵害後、完全に30日から60日間失効していなかったことを示しています。2023年9月、Microsoftは、Windowsのクラッシュダンプから消費者署名キーを取得した脅威アクターが、企業システムが消費者署名キーで署名されたセッショントークンを受け入れることを可能にする未知のバグを悪用して、ExchangeおよびActive Directoryアカウントを侵害したと発表しました。
企業は、認証トークンを少なくとも7日ごとに失効させるべきです。また、個人デバイスからのSaaSアプリケーションへのログインを許可しない、企業デバイスからの個人メールアクセスをブロックする、ブラウザ内での資格情報の保存をブロックする、Gmail、Google Drive、OneDriveへの保存された資格情報の同期をブロックするなどの対策が推奨されます。トークンは脅威アクターによって積極的に狙われているため、ユーザーに週に一度再認証を求めることは、侵害の総コストを考えると小さな不便です。
【ニュース解説】
認証トークンは、アプリケーションの検証や安全なログインを可能にする重要なデジタル識別子です。これらのトークンは、ネットワーク、SaaSアプリケーション、クラウドコンピューティング、IdPシステムやSSOへのアクセスにおいて、ログイン認証データを保持します。しかし、これらのトークンが定期的に失効されない場合、または特定のデバイスにのみ使用されるように設定されていない場合、脅威アクターにとっては非常に価値のある対象となります。
脅威アクターは、AitM攻撃やパス・ザ・クッキー攻撃を通じてこれらのトークンを取得することがあります。これらの攻撃では、脅威アクターがユーザーと正規のアプリケーションの間に位置し、認証情報やトークンを盗み出します。また、個人デバイスは企業システムほどのセキュリティを持たず、脅威アクターによってトークンが容易にキャプチャされるリスクがあります。
トークンの有効期限を短く設定することは、これらの攻撃を完全に防ぐことはできませんが、トークンが機能する機会の窓を短縮し、リスクを最小限に抑えることができます。昨年、認証トークンが関与するいくつかの侵害事例が報告され、その重要性が改めて強調されました。
企業は、認証トークンの管理において、セキュリティを最優先すべきです。トークンの有効期限を頻繁に設定し、個人デバイスからのアクセスを制限することで、脅威アクターによる侵害のリスクを減らすことができます。また、企業デバイスからの個人メールアクセスのブロックや、ブラウザ内での資格情報の保存を禁止することも、セキュリティを強化するための重要な措置です。
このような対策は、従業員にとっては一定の不便を伴うかもしれませんが、侵害の総コストを考えると、その価値は計り知れません。トークンは脅威アクターにとって非常に魅力的なターゲットであり、企業はトークン管理において積極的かつ慎重なアプローチを取るべきです。
from Why Tokens Are Like Gold for Opportunistic Threat Actors.