Microsoft は、Office 365 で使用される Azure Active Directory アカウントの 0.5% が毎月侵害されていると見積もっています。
Windows の巨人である同社のアイデンティティ セキュリティ担当ディレクターのアレックス・ワイナート氏と、IT アイデンティティおよびアクセス プログラム マネージャーのリー・ウォーカー氏は、先月サンフランシスコで開催された RSA カンファレンスでこれらの数字を明らかにした。
「当社のシステム上の企業アカウントの約0.5%が毎月侵害を受けており、これは非常に高い数字です。1万人のユーザーを抱える組織であれば、毎月50人が侵害を受けることになります」とワイナート氏は述べた。
これは驚くべき、そして憂慮すべき数字です。アカウント侵害とは、悪意のある人物またはスクリプトが内部リソースに何らかの形でアクセスできることを意味しますが、侵害の程度は明示されていません。目的は、スパムメールの送信といった単純なものから、より深刻なものとしては、機密情報を盗み出し、アクセス権限をエスカレートしようとするものまで様々です。
パスワードスプレー攻撃は侵害されたアカウントの40%を占める
これらの攻撃はどのようにして発生するのでしょうか?約40%は、マイクロソフトがパスワードスプレー攻撃と呼ぶものです。攻撃者はユーザー名のデータベースを使用し、「123」や「p@ssw0rd」など、統計的に確率の高いパスワードでログインを試みます。大半は失敗しますが、成功する場合もあります。さらに40%はパスワードリプレイ攻撃で、攻撃者は多くの人がパスワードや企業パスワードを非企業環境で再利用しているという前提で、データ侵害の手口を探ります。残りの20%はフィッシングなどの他の種類の攻撃です。
しかし重要なのは、アカウントが侵害された場合、「99.9%の確率でMFA(多要素認証)が利用されていない」ということだとワイナート氏は述べた。MFAとは、ログイン時に認証アプリのコードや携帯電話へのテキストメッセージなど、少なくとも1つの追加識別子が必要となる認証方式である。Azure ADで現在プレビュー中の機能であるFIDO2セキュリティキーを使用することも可能であり、推奨される。従来の認証を無効にするだけでも効果があり、侵害の可能性は67%減少する。
MFAは、MicrosoftがOAuth 2.0などのモダン認証と呼ぶ認証方式でのみ可能です。レガシー認証では、ユーザー名とパスワードのみが要求されます。たとえ認証情報が暗号化された接続で送信される場合でも、上記のような手法によって脆弱性が高まります。
SMTPが有効になっているユーザーは侵害を受ける可能性が最も高い
マイクロソフトは、アカウント侵害と、ユーザーがレガシー認証を有効にしているプロトコルとの相関関係を明らかにすることに成功しました。SMTPが有効になっている場合、侵害される可能性は7%に上昇すると、RSAの参加者に伝えられました。
MFAを有効にしているユーザーはどれくらいいるでしょうか?ワイナート氏とウォーカー氏によると、現在、世界全体でのMFA導入率は約11%で、これがアカウント侵害率の高さにつながっているとのことです。
レガシー認証を無効にすると、機能が壊れる
解決策はシンプルに思えます。全ユーザーに対してレガシー認証を無効にするのです。マイクロソフト自身も2018年9月に自社の従業員を対象にこの取り組みを開始しました。少数のユーザーによるテストが成功したため、展開の次の段階では営業チーム全体、約6万人のユーザーに対してレガシー認証を無効化しました。「真夜中に電話がかかってくるようになりました」と講演者は語りました。
問題は、単一のアカウントを使用するバックエンドコンポーネントを持つテレセールスアプリケーションにあることが判明しました。このコンポーネントへのログインには、従来の認証が使用されていました。その結果、すべてのユーザーに対してアプリケーションが機能しなくなり、社内では「重大度1」のメルトダウンと定義される深刻な業務中断が発生しました。新しいポリシーはロールバックされました。
チームは、レガシー認証ログインを特定するために、90日間のサインイン履歴の記録を開始しました。その結果、さまざまなツールやユーティリティが使用されていることが判明しました。WindowsやOfficeの開発ツールでさえ、レガシー認証に依存していました。チームは、これらのツールの所有者を特定し、彼らと協力して認証を更新するという、ゆっくりとしたプロセスを開始しました。2019年3月までに、94%のユーザーに対してレガシー認証を無効化し、現在ではその割合はほぼ100%に達しています。ライブ監視グラフを示したワイナート氏とウォーカー氏によると、Microsoftは毎日150万件のレガシー認証ログイン試行を受けており、現在はブロックされています。
我々残りの者たちの次は何だろうか?
統計は説得力があります。セキュリティを重視する組織にとって、従来の認証を無効化し、MFAを強制することは賢明な策のように思えます。しかし、Microsoft自身の経験が示すように、これは容易ではありません。アプリケーションの修正は、特にコードが手元にない場合、困難を伴います。また、開発者にとっては、ユーザー名とパスワードを送信するだけでなく、トークンの交換が必要となるため、少し複雑です。さらに、最も一般的な攻撃は、長く、一意で、推測不可能なパスワードを使用するだけで防ぐことができることにも留意してください。
RSAで、MicrosoftはAzure ADでレガシー認証を無効化し、MFAを強制するためのツールを公開しました。重要な設定はAzure ADの条件付きアクセスセクションで、ポリシーを設定できます。プレビュー版の新機能として、ポリシーをレポートのみに設定する機能があります。これは、ポリシーは強制されませんが、失敗するはずだったサインインのログが取得されるため、業務を中断することなく修正できることを意味します。
基本的なセキュリティのデフォルトは、Azure AD Premium なしで設定できます。
一つ問題があります。条件付きアクセスポリシーはAzure AD Premiumの有料機能であるため、多くの組織では利用できません。Microsoftは、Azure ADダッシュボードの「プロパティ」セクションにある「セキュリティの既定値」という機能を提供しています。これを有効にすると、iOSまたはAndroid向けのMicrosoft Authenticatorアプリの使用が強制され、従来の認証が無効になります。これは、2019年10月22日以降に作成されたOffice 365テナントではデフォルトで有効になっています。ただし、すべて有効か無効かのどちらかであり、条件付きアクセスポリシーを使用するようにアップグレードする場合は、セキュリティの既定値を無効にする必要があります。
2020 年 10 月から、Microsoft は Exchange の従来の認証を無効にします。これにより一部のアプリケーションが使用できなくなりますが、組織が MFA を導入するきっかけとなる可能性もあります。
結局のところ、月間0.5%以上のアカウント侵害率を容認している組織は、セキュリティの観点から見て望ましい水準からは程遠いと言えます。従来の認証を無効にすることは有効ですが、MFAの適用はさらに効果的です。®
