テナントを保護し、運用システムを分離することは、テナントの境界を設定し、運用システムをテスト環境と運用前環境から分離し続けることです。 横移動は、 セキュア・フューチャー・イニシアティブの重大な懸念事項でした。
小規模な組織でも、より厳密なゲスト アクセス ポリシーを実装し、テナントを作成できるユーザーを制限することで、環境を保護できます。 複数の環境を管理する大規模な組織は、承認されていないテナントの拡散と横移動を防ぐためにアクションを実行する必要があります。 すべての組織は、これらのチェックを利用して、管理されていないテナントを通じて攻撃対象領域を減らすことができます。
ゼロ トラストのセキュリティに関する推奨事項
新しいテナントを作成するためのアクセス許可は、テナント作成者ロールに制限されます
脅威アクターまたは意図はありますが、情報を得ない従業員は、制限がない場合は、新しい Microsoft Entra テナントを作成できます。 既定では、テナントを作成するユーザーには、グローバル管理者ロールが自動的に割り当てられます。 適切な制御がない場合、このアクションは、組織のガバナンスと可視性の外部にテナントを作成することで、ID 境界を破壊します。 トークンの発行、ブランド偽装、同意フィッシング、永続的なステージング インフラストラクチャに悪用される可能性があるシャドウ ID プラットフォームでもリスクが生じます。 悪意のあるテナントは企業の管理または監視プレーンに接続されない可能性があるため、従来の防御では、その作成、アクティビティ、および潜在的な誤用が盲目になります。
修復アクション
[ 管理者以外のユーザーによるテナントの作成を制限する ] 設定を有効にします。 テナントを作成する機能が必要なユーザーには、テナント作成者ロールを割り当てます。 Microsoft Entra 監査ログでテナント作成イベントを確認することもできます。
- メンバー ユーザーの既定のアクセス許可を制限する
- テナント作成者ロールを割り当てる
- テナント作成イベントを確認します。 OperationName=="Create Company"、Category == "DirectoryManagement" を探します。
影響の大きい管理タスクに対して保護されたアクションが有効になっている
テナントへの特権アクセス権を取得する脅威アクターは、ID、アクセス、およびセキュリティ構成を操作できます。 この種の攻撃により、環境全体が侵害され、組織の資産の制御が失われる可能性があります。 条件付きアクセス ポリシー、テナント間アクセス設定、ハード削除、セキュリティの維持に不可欠なネットワークの場所に関連付けられている影響の大きい管理タスクを保護するためのアクションを実行します。
保護されたアクションにより、管理者は、強力な認証方法 (パスワードレス MFA またはフィッシングに強い MFA)、特権アクセス ワークステーション (PAW) デバイスの使用、セッション タイムアウトの短縮など、追加のセキュリティ制御を使用してこれらのタスクをセキュリティで保護できます。
修復アクション
ゲスト アクセスは、承認されたテナントに制限されます
既知および承認されたテナントの一覧へのゲスト アクセスを制限すると、脅威アクターが無制限のゲスト アクセスを利用して、侵害された外部アカウントを介して、または信頼されていないテナントにアカウントを作成することによって初期アクセスを確立するのを防ぐことができます。 無制限のドメインを介してアクセスできる脅威アクターは、内部リソース、ユーザー、およびアプリケーションを検出して、追加の攻撃を実行できます。
組織はインベントリを取得し、許可リストまたはブロックリストを構成して、特定の組織からの B2B コラボレーションの招待を制御する必要があります。 これらの制御がないと、脅威アクターはソーシャル エンジニアリング手法を使用して、正当な内部ユーザーから招待を取得する可能性があります。
修復アクション
- 承認済みドメインの一覧を設定する方法について説明します。
ゲストに高い特権ディレクトリ ロールが割り当てられない
グローバル管理者や特権ロール管理者などの高い特権を持つディレクトリ ロールがゲスト ユーザーに割り当てられている場合、組織は、脅威アクターが侵害された外部アカウントまたはビジネス パートナー環境を介して初期アクセスのために悪用できる重大なセキュリティ脆弱性を作成します。 ゲスト ユーザーはセキュリティ ポリシーを直接制御せずに外部組織から発信されるため、これらの外部 ID を侵害した脅威アクターは、ターゲット組織の Microsoft Entra テナントへの特権アクセスを取得できます。
脅威アクターは、昇格された特権を持つ侵害されたゲスト アカウントを通じてアクセス権を取得すると、自分の特権をエスカレートして、他のバックドア アカウントを作成したり、セキュリティ ポリシーを変更したり、組織内で永続的なロールを割り当てたりすることができます。 侵害された特権ゲスト アカウントを使用すると、脅威アクターは永続化を確立し、検出されないようにするために必要なすべての変更を行うことができます。 たとえば、クラウド専用アカウントを作成し、内部ユーザーに適用される条件付きアクセス ポリシーをバイパスし、ゲストの自宅組織が侵害を検出した後でもアクセスを維持できます。 脅威アクターは、管理特権を使用して横移動を実行して、機密性の高いリソースにアクセスしたり、監査設定を変更したり、テナント全体のセキュリティ監視を無効にしたりすることができます。 脅威アクターは、外部ゲスト アカウントの配信元を通じて妥当な拒否性を維持しながら、組織の ID インフラストラクチャの完全な侵害に到達できます。
修復アクション
ゲストは他のゲストを招待できません
外部ユーザー アカウントは、多くの場合、企業とビジネス関係を持つ組織に属するビジネス パートナーへのアクセスを提供するために使用されます。 これらのアカウントが組織内で侵害された場合、攻撃者は有効な資格情報を使用して環境に最初にアクセスできます。多くの場合、正当性のために従来の防御をバイパスできます。
外部ユーザーが他の外部ユーザーのオンボードを許可すると、不正アクセスのリスクが高まります。 攻撃者が外部ユーザーのアカウントを侵害した場合、それを使用してさらに多くの外部アカウントを作成し、アクセス ポイントを乗算し、侵入の検出を困難にすることができます。
修復アクション
ゲストがディレクトリ オブジェクトへのアクセスを制限している
外部ユーザー アカウントは、多くの場合、企業とビジネス関係を持つ組織に属するビジネス パートナーへのアクセスを提供するために使用されます。 これらのアカウントが組織内で侵害された場合、攻撃者は有効な資格情報を使用して環境に最初にアクセスできます。多くの場合、正当性のために従来の防御をバイパスできます。
ディレクトリ オブジェクトのアクセス許可を読み取るアクセス許可を持つ外部アカウントは、侵害された場合に、攻撃者により広範な初期アクセスを提供します。 これらのアカウントを使用すると、攻撃者は偵察のためにディレクトリから追加情報を収集できます。
修復アクション
アプリ インスタンスのプロパティ ロックは、すべてのマルチテナント アプリケーションに対して構成されます
アプリ インスタンスのプロパティ ロックにより、アプリケーションが別のテナントにプロビジョニングされた後にマルチテナント アプリケーションの機密性の高いプロパティが変更されるのを防ぐことができます。 ロックがないと、アプリケーション資格情報などの重要なプロパティが悪意を持って変更されたり、意図せずに変更されたりする可能性があります。これにより、中断、リスクの増加、未承認のアクセス、特権のエスカレーションが発生する可能性があります。
修復アクション すべてのマルチテナント アプリケーションのアプリ インスタンス プロパティ ロックを有効にし、ロックするプロパティを指定します。
ゲストは有効期間の長いサインイン セッションを持っていません
サインイン セッションが拡張されたゲスト アカウントは、脅威アクターが悪用できるリスク領域を増やします。 ゲスト セッションが必要な期間を超えて持続する場合、脅威アクターは資格情報の詰め込み、パスワード スプレー、ソーシャル エンジニアリング攻撃を通じて初期アクセスを試みることがよくあります。 アクセス権を取得すると、再認証の課題なしに、長期間にわたって未承認のアクセスを維持できます。 これらの侵害されたセッションと拡張セッション:
- Microsoft Entra アーティファクトへの未承認のアクセスを許可することで、脅威アクターは機密性の高いリソースを識別し、組織構造をマップできます。
- 正当な認証トークンを使用して脅威アクターをネットワーク内に保持することを許可し、アクティビティが一般的なユーザーの動作として表示されるため、検出がより困難になります。
- 共有リソースへのアクセス、より多くの資格情報の検出、システム間の信頼関係の悪用などの手法を使用して、特権をエスカレートする時間が長い期間を脅威アクターに提供します。
適切なセッション制御がないと、脅威アクターは、組織のインフラストラクチャ全体で横移動を実現し、元のゲスト アカウントの意図されたアクセス範囲をはるかに超える重要なデータとシステムにアクセスできます。
修復アクション
- アダプティブ セッションの有効期間ポリシーを構成して、 サインイン頻度ポリシーのライブ サインイン セッションが短いようにします。
ゲスト アクセスは強力な認証方法によって保護されます
外部ユーザー アカウントは、組織とビジネス関係を持つ組織に属するビジネス パートナーへのアクセスを提供するためによく使用されます。 これらのアカウントが組織内で侵害された場合、攻撃者は有効な資格情報を使用して環境に最初にアクセスできます。多くの場合、正当性のために従来の防御をバイパスできます。
多要素認証 (MFA) がユニバーサルに適用されていない場合、または例外が発生した場合、攻撃者は外部ユーザー アカウントでアクセスする可能性があります。 また、SIM スワップやフィッシングなどのソーシャル エンジニアリング手法を使用して、SMS や電話などの弱い MFA メソッドの脆弱性を悪用して認証コードをインターセプトすることで、アクセスを取得することもできます。
攻撃者は、MFA のないアカウントまたは弱い MFA メソッドを使用したセッションにアクセスすると、MFA 設定 (攻撃者が制御するメソッドの登録など) を操作して、侵害されたアカウントの特権に基づいてさらなる攻撃を計画および実行するための永続化を確立しようとする可能性があります。
修復アクション
- ゲストに認証強度を適用する条件付きアクセス ポリシーを展開します。
- ビジネス関係が近く、MFA プラクティスに関する審査を行っている組織の場合は、MFA 要求を受け入れるためにテナント間アクセス設定を展開することを検討してください。
ユーザー フローを使用したゲスト セルフサービス サインアップが無効になっている
ゲストのセルフサービス サインアップが有効になっている場合、脅威アクターは、承認された担当者からの承認を必要とせずに正当なゲスト アカウントを作成することで、それを利用して未承認のアクセスを確立できます。 これらのアカウントは、特定のサービスにスコープを設定して検出を減らし、外部ユーザーの正当性を検証する招待ベースの制御を効果的にバイパスすることができます。
作成されると、自己プロビジョニングゲスト アカウントによって、組織のリソースとアプリケーションへの永続的なアクセスが提供されます。 脅威アクターは、これらを使用して偵察アクティビティを実施して、内部システムのマッピング、機密データ リポジトリの識別、さらに攻撃ベクトルの計画を行うことができます。 この永続化により、敵対者は再起動、資格情報の変更、その他の中断を通じてアクセスを維持できます。一方、ゲスト アカウント自体は、外部の脅威に焦点を当てたセキュリティ監視を回避する可能性のある一見正当な ID を提供します。
さらに、侵害されたゲスト ID を使用して資格情報の永続化を確立し、特権をエスカレートする可能性があります。 攻撃者は、ゲスト アカウントと内部リソースの間の信頼関係を悪用したり、ゲスト アカウントをステージング グラウンドとして使用して、より特権のある組織資産への横移動を行ったりすることができます。
修復アクション
送信テナント間アクセス設定が構成されている
未確認の組織との無制限の外部コラボレーションを許可すると、適切なセキュリティ制御を持たない可能性のあるゲスト アカウントが許可されるため、テナントのリスク領域が増加する可能性があります。 脅威アクターは、これらの緩やかに管理された外部テナントの ID を侵害することで、アクセスを試みることができます。 ゲスト アクセスが許可されると、正当なコラボレーション 経路を使用してテナント内のリソースに侵入し、機密情報の取得を試みることができます。 脅威アクターは、正しく構成されていないアクセス許可を悪用して特権をエスカレートし、さまざまな種類の攻撃を試みることもできます。
共同作業を行う組織のセキュリティを確保しないと、悪意のある外部アカウントが検出されずに保持され、機密データが流出し、悪意のあるペイロードが挿入される可能性があります。 この種の露出は、組織の制御を弱め、従来の境界防御をバイパスし、データの整合性と運用の回復性の両方を損なうテナント間攻撃を可能にする可能性があります。 Microsoft Entra の送信アクセスのテナント間設定では、既定で不明な組織とのコラボレーションをブロックする機能が提供され、攻撃対象領域が減少します。
修復アクション
ゲストがテナント内のアプリを所有していない
ゲスト ユーザーによるアプリケーションの登録と所有を妨げる制限なしに、脅威アクターは外部ユーザー アカウントを利用して、従来のセキュリティ監視を回避する可能性のあるアプリケーション登録を通じて、組織のリソースへの永続的なバックドア アクセスを確立できます。 ゲスト ユーザーがアプリケーションを所有している場合、侵害されたゲスト アカウントを使用して、広範なアクセス許可を持つ可能性のあるゲスト所有のアプリケーションを悪用できます。 この脆弱性により、脅威アクターは、内部ユーザー所有アプリケーションに対して同じレベルの調査を行うことなく、電子メール、ファイル、ユーザー情報などの機密性の高い組織データへのアクセスを要求できます。
ゲスト所有のアプリケーションは高い特権のアクセス許可を要求するように構成でき、同意が付与されると、脅威アクターに正当な OAuth トークンが提供されるため、この攻撃ベクトルは危険です。 さらに、ゲスト所有のアプリケーションはコマンドおよび制御インフラストラクチャとして機能できるため、脅威アクターは、侵害されたゲスト アカウントが検出されて修復された後でもアクセスを維持できます。 アプリケーションの資格情報とアクセス許可は、元のゲスト ユーザー アカウントとは独立して保持される可能性があるため、脅威アクターはアクセスを保持できます。 また、ゲスト所有のアプリケーションでは、外部ユーザーによって登録されたアプリケーションの目的とセキュリティ体制の可視性が制限される可能性があるため、セキュリティ監査とガバナンスの取り組みも複雑になります。 アプリケーション ライフサイクル管理のこれらの隠れた弱点により、一見正当なアプリケーション登録を通じて Microsoft 以外のエンティティに付与されるデータ アクセスの真の範囲を評価することが困難になります。
修復アクション
- アプリケーションとサービス プリンシパルから所有者としてゲスト ユーザーを削除し、将来のゲスト ユーザー アプリケーションの所有権を防ぐためのコントロールを実装します。
- ゲスト ユーザーのアクセス許可を制限する
すべてのゲストはスポンサーを持っています
外部ゲストの招待は、組織の共同作業に役立ちます。 ただし、各ゲストに内部スポンサーが割り当てされていない場合、これらのアカウントは明確な説明責任を持たずにディレクトリ内に保持される可能性があります。 この監視によってリスクが発生します。脅威アクターは、未使用または監視されていないゲスト アカウントを侵害する可能性があり、テナント内に最初の足掛かりを確立する可能性があります。 明らかな "正当な" ユーザーとしてアクセス権が付与されると、攻撃者はアクセス可能なリソースを探索し、特権エスカレーションを試みる可能性があり、最終的には機密情報や重要なシステムが公開される可能性があります。 そのため、監視されていないゲスト アカウントは、未承認のデータ アクセスや重大なセキュリティ侵害のベクトルになる可能性があります。 一般的な攻撃シーケンスでは、標準の外部コラボレーターを装って、次のパターンを使用できます。
- 侵害されたゲスト資格情報によって取得された初期アクセス
- 監視不足による永続性。
- ゲスト アカウントがグループ メンバーシップまたは昇格されたアクセス許可を持っている場合は、さらにエスカレーションまたは横移動します。
- 悪意のある目的の実行。
すべてのゲスト アカウントがスポンサーに割り当てられていることを管理すると、このリスクが直接軽減されます。 このような要件により、各外部ユーザーが、アクセスに対するゲストの継続的なニーズを定期的に監視および証明することが期待される責任ある内部当事者にリンクされます。 Microsoft Entra ID 内のスポンサー機能は、招待者を追跡し、"孤立した" ゲスト アカウントの急増を防ぐことで、アカウンタビリティをサポートします。 コラボレーションの終了時にアクセスを削除するなど、スポンサーがゲスト アカウントのライフサイクルを管理すると、脅威アクターが無視されたアカウントを悪用する機会が大幅に減少します。 このベスト プラクティスは、効果的なゲスト アクセス ガバナンス戦略の一環として、ビジネス ゲストにスポンサー シップを要求するための Microsoft のガイダンスと一致しています。 各ゲスト ユーザーのプレゼンスとアクセス許可が継続的な内部監視下にあることを保証するため、コラボレーションを有効にすることとセキュリティを適用することのバランスを取ります。
修復アクション
- スポンサーがないゲスト ユーザーごとに、Microsoft Entra ID でスポンサーを割り当てます。
非アクティブなゲスト ID が無効になっているか、テナントから削除される
ゲスト ID がアクティブなままで長期間使用されていない場合、脅威アクターは、これらの休止中のアカウントを組織へのエントリ ベクターとして利用できます。 非アクティブなゲスト アカウントは、多くの場合、セキュリティ チームによって監視されないまま、リソース、アプリケーション、およびデータへの永続的なアクセス許可を維持するため、重要な攻撃対象となります。 脅威アクターは、資格情報の詰め込み、パスワード スプレー、またはゲストのホーム組織を侵害して横アクセスを取得することで、これらのアカウントを頻繁にターゲットにします。 非アクティブなゲスト アカウントが侵害されると、攻撃者は既存のアクセス許可を利用して次のことができます。
- テナント内を横方向に移動する
- グループ メンバーシップまたはアプリケーションのアクセス許可を使用して特権をエスカレートする
- サービス プリンシパルの作成や既存のアクセス許可の変更などの手法を使用して永続化を確立する
これらのアカウントの長時間の休止により、攻撃者は、通常、外部のゲスト アカウントではなくアクティブな内部ユーザーに監視作業を集中するため、偵察を実施し、機密データを流出させ、検出せずにバックドアを確立するためのドウェル時間が長くなります。
修復アクション
すべてのエンタイトルメント管理ポリシーの有効期限が設定されている
有効期限のないエンタイトルメント管理ポリシーでは、脅威アクターが悪用できる永続的なアクセスが作成されます。 ユーザーの割り当てに時間制限がない場合、侵害された資格情報は無期限のアクセスを維持し、攻撃者が永続化を確立し、追加のアクセス パッケージを通じて特権をエスカレートし、検出されずに長期的な悪意のあるアクティビティを実行できるようにします。
修復アクション
外部ユーザーに適用されるすべてのエンタイトルメント管理割り当てポリシーには、接続された組織が必要です
特定の接続された組織ではなく "すべてのユーザー" を許可するように構成されたアクセス パッケージは、制御されていない外部アクセスに組織を公開します。 脅威アクターは、承認されていない組織から侵害された外部アカウントを介してアクセスを要求し、最小限の特権の原則をバイパスすることで、これを悪用できます。 これにより、環境内での初期アクセス、偵察、特権エスカレーション、横移動が可能になります。
修復アクション
ゲストに適用されるすべてのエンタイトルメント管理パッケージには、割り当てポリシーで有効期限またはアクセス レビューが構成されています
有効期限やアクセス レビューのないゲスト ユーザーのアクセス パッケージを使用すると、組織のリソースに無期限にアクセスできます。 侵害されたゲスト アカウントまたは古いゲスト アカウントを使用すると、脅威アクターは、横移動、特権エスカレーション、およびデータ流出に対して永続的で検出されないアクセスを維持できます。 定期的な検証がないと、組織は、ビジネス関係がいつ変更されたか、ゲスト アクセスが不要になった時点を識別できません。
修復アクション
Microsoft Entra 参加済みデバイスでローカル管理者を管理する
Microsoft Entra 参加済みデバイスのローカル管理者が適切に管理されていない場合、資格情報が侵害された脅威アクターは、組織の管理者を削除し、デバイスの Microsoft Entra への接続を無効にすることで、デバイスの引き継ぎ攻撃を実行できます。 この制御が不足すると、組織の制御が完全に失われるので、管理または回復できない孤立した資産が作成されます。
修復アクション