この記事は、CloudLock のマーケティング VP である Bernd Leger によるブログ「The OAuth attack goes mainstream」(2017/5/3)の抄訳です。
今日の攻撃
今日、最新の OAuth ベースの攻撃が蔓延しました。その攻撃は、既知の連絡先からのシンプルな電子メールで始まり、Google ドキュメントで共同作業をするようにターゲットを招待します。
ターゲットが [ドキュメントで開く(Open in Docs)] リンクをクリックすると、「Google ドキュメント」アプリケーションを認可する Google OAuth 2.0 ページにリダイレクトされます。これは Google ドキュメントをスプーフィングする偽のアプリケーションです。
このアプリケーションは、ターゲットの電子メールと連絡先へのアクセスを要求し、その結果、感染経路がウイルスのように有機的に拡大していきます。
アプリケーションの詳細を確認すると、アプリケーション開発者の名前は「eugene.pupov@gmail.com」と表示されます。
ユーザがクリックして、偽の Google ドキュメント アプリケーションが電子メールと連絡先にアクセスすることを許可すると、攻撃者はこの情報を利用してウイルスのように拡散していきます。
技術的な詳細情報については、Cisco TALOS の記事 を参照してください。
OAuth 攻撃の背景
OAuth は、ユーザが自分のアカウントのクレデンシャルをアプリケーションと共有せずに、Web アプリケーションやサービスに接続する安全な方法として導入された、業界標準のプロトコルです。コンシューマ アプリケーションや、Google Apps、Office 365、Salesforce、LinkedIn などの多くの企業アプリケーションを含むほとんどすべての Web ベース アプリケーションで幅広く採用されています。
多くの企業がクラウド プラットフォームを採用するようになったため、従業員は自分の企業のクレデンシャルを使用してアプリケーションを認可し、それらのアプリケーションがプログラム(API)から企業データに対してアクセスできるようにすることで、企業環境に何百万ものバック ドアができてしまっています。
Cisco Cloudlock の調査によると、OAuth 接続のクラウド アプリケーションの数は、3 年前の 5,500 から今年の 276,000 を超えるまで急激に増加しています。また、同じ調査によると、組織の環境には平均して 1,050 の独自の OAuth 対応アプリケーションがあります。4 分の 1 を超えるアプリケーションがハイリスクとみなされているのは、アプリケーションに対してユーザが許可する権限のレベルが非常に高いからです。アプリケーションからクラウド環境内のファイルにフル アクセスできるようにし、ファイルの変更、削除、外部への公開を可能にしている場合が多くみられます。
接続アプリケーションおよびそれに関連付けられたリスク ポスチャの急激な増加によるセキュリティへの影響は、組織が実際の対策を今でもよく理解していないことによってさらに悪化しています。
よくある誤解:
- 誤解 #1:パスワードを変更すれば問題に対応できる。OAuth ベースのアプリケーションにいったん権限が付与されると、アカウントのパスワードを変更しても効果はありません。OAuth トークンを無効にする必要があります。
- 誤解 #2:多要素認証を有効にすればリスクを軽減できる。認証ユーザは OAuth によってアプリケーションに権限を付与します。ユーザが権限を付与すると、アプリケーション自体は 2 つ目の要素に対応する必要はありません。
- 誤解 #3:OAuth ベースの攻撃は Google のみである。他の多くのプラットフォーム(Microsoft Azure AD など)も同じ手法の影響を受ける可能性があります。
では、どうすればよいのでしょう。
クラウド アプリケーションの各ユーザ
各ユーザは Google アカウントのセキュリティ設定を確認し、認識していない、または、信頼できないアプリケーションに対する権限を無効にする必要があります。また、過剰なアクセスを要求するアプリケーションに権限を付与してはなりません。
クラウド アプリケーションを導入している組織
組織はハイレベルの戦略と詳細なアプリケーション使用ポリシーを構築し、アプリケーションをホワイトリストに登録するか、禁止するかの判断方法を決定して、そのビジョンをエンド ユーザと共有する必要があります。ワークフローの自動化や、アプリケーションの特定、ホワイトリストへの登録、禁止や無効化をほぼリアルタイムで行うことがかつてないほど重要になっています。
OAuth ベースの攻撃は、NGFW、SWG、SSO、多要素認証など、すべての標準的なセキュリティ層をバイパスします。組織に必要なのは次のような対応です。
- 可視化:組織は、OAuth 接続のアプリケーションのリスクを理解する必要があります。そのためには、どのユーザが OAuth 経由でアプリケーションに接続しているのか、それらのアプリケーションに付与された権限は何か、各アプリケーションがどの程度リスクがあるものなのかを把握する必要があります。
- 制御:組織は、OAuth アプリケーションのエコシステムを制御する必要があります。正しいプロセスは組織によって異なります。承認されていないアプリケーションをすべて無効にする、危険なアプリケーションや過剰な権限をもつアプリケーションに焦点を当てる、すべてのアプリケーションを許可するが、ウイルスのように拡散する悪意のあるアプリケーションに遭遇した場合は組織全体ですばやくグローバルに対応する準備をしておく、などが考えられます。
Cisco Cloudlock は、悪意があり、過剰な権限をもつ、OAuth 接続のアプリケーションを長年にわたって防御してきました。Cisco Cloudlock は、アプリケーションのリスクを評価するための情報を提供しています。情報には、アプリケーションのアクセス範囲、リスク レベルのスコア、Community Trust Rating(CTR)、匿名化したユーザ データ(アプリケーションを信頼したユーザ数と禁止したユーザ数の比較)に基づいた、クラウドソーシングによるサードパーティ アプリケーションのセキュリティ リスク評価などがあります。
OAuth ベースの攻撃に対する Cisco Cloudlock の対応の詳細については、ビデオをご覧ください。