テナントに影響を与える危険な API アクセス許可
High
Language:
説明
Microsoft は、Microsoft Entra ID のアプリケーションを介して API を公開し、サードパーティアプリケーションが Microsoft Entra ID 自体、また Microsoft 365 (O365) や Azure クラウドなどでアクションを実行できるようにします。「API アクセス許可」は、必要とするサービスプリンシパルだけが利用できるこれらの API へのアクセスを保護します。アクセス許可の承認は、「アプリケーションロールの割り当て」または「同意の付与」と呼ばれています。
一部の Microsoft API (以下を参照) に対する特定のアクセス許可は、Microsoft Entra ID テナント全体に深刻な脅威をもたらす可能性があります。これは、これらのアクセス許可を持つサービスプリンシパルが、グローバル管理者などの強力な管理者ロールを持つユーザーよりも目立たないながらも、非常に強力なユーザーになるためです。これを悪用すると、攻撃者は多要素認証 (MFA) をバイパスし、ユーザーパスワードのリセットを避けることができます。
アクセス許可は、正当と見なされると、テナントのアタックサーフェスを拡大させます。アクセス許可が正当でない場合、権限昇格や永続化といった悪意のある試みである可能性があります。
Microsoft ドキュメント「アクセス許可と同意の概要」に記載されているように、Microsoft Entra ID の API アクセス許可には次の 2 つのタイプがあります。
- アプリケーションのアクセス許可: 同意は管理者から与えられ、アクセス許可はテナント全体に適用されます。
- 委任されたアクセス許可: 同意は、企業全体を代表してユーザーまたは管理者から与えられます。これらのアクセス許可は、サインインしたユーザーの権限 (つまり、アクセス許可とユーザーの権限レベルの共通部分) に基づいてアプリケーションのアクション実行能力を制限することに注意してください。したがって、これらの委任されたアクセス許可の危険性は、委任されたアクセス許可戦略の開発に記載されているように、アプリケーションユーザーの実際のアクセス許可に依存しています。例: 標準ユーザーが「Group.ReadWrite.All」アクセス許可を委任した場合、アプリケーションによりすべてのグループではなく、ユーザーが編集可能なグループのみが変更される可能性があります。
この露出インジケーターは、両タイプのアクセス許可を調べます。API アクセス許可は、ユーザーではなくサービスプリンシパルのみに適用可能であるため、サービスプリンシパルに関してのみ報告を行います。
この露出インジケーターは、Microsoft Graph API および従来の Azure AD Graph API へのアクセスを可能にするアクセス許可にも重点を置いています。特に、次の危険なアクセス許可はセキュリティリスクをもたらす可能性があります。
RoleManagement.ReadWrite.Directory: 攻撃者がグルーバル管理者ロールへと自ら昇格できるようにします。AppRoleAssignment.ReadWrite.All: 攻撃者が自らにRoleManagement.ReadWrite.Directoryアクセス許可を付与できるようにします (上記参照)。
これらの危険なアクセス許可を持つ正当なアプリケーションは、本来必要とされる範囲を超えたアクセス許可を求めます。これは、攻撃者が管理者の同意の取得に成功する「不正な同意の付与」と呼ばれるフィッシング攻撃を示唆する可能性もあります。
ソリューション
アクセス許可を持つ、報告されたサービスプリンシパルが正当であるかどうかを判断することから始めます。フィッシング攻撃では、表示名を偽装することが技術的に可能ですのでご注意ください。サービスプリンシパルが既知のソフトウェアベンダーに属しているように見える場合、報告されたアプリケーション ID がそのベンダーに属しているかどうかを確認するよう、ベンダーに依頼します。サービスプリンシパルが不正なもので、既知のアプリケーション名になりすましている場合、フォレンジック分析を実行する必要があります。
- サービスプリンシパルが正当である場合、その所有者とロールを特定して、実際にこれらの危険なアクセス許可が必要かどうかを評価します。アプリケーションが社内のものである場合、各 API の必要最低限のアクセス許可を具体的に示す Microsoft Graph API ドキュメントの「同意と認証」セクションに記載されているように、その機能に応じて、最小権限の原則のベストプラクティスを使用してアクセス許可を削減します。アプリケーションがサードパーティのものである場合、必要なアクセス許可を低減するか、少なくともそれらが必要な理由を実証するようにベンダーに要求します。
- デフォルトでは、すべてのユーザーが任意のアプリケーションにアクセス許可を委任できるので、機密性の高いセキュリティ上の決定を下すことができます。Microsoft Entra ID には、[ユーザーの同意の設定]を有効にできるオプションが備わっています(https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-user-consent)。制限を有効にすると、特定のロールを持つ Microsoft Entra ID の管理者は、[アプリケーションへの同意を管理し、同意要求を評価する]ことが求められます(https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-consent-requests)。[管理者の同意要求を確認](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/review-admin-consent-requests)する方法も参照してください。
- アプリケーションのアクセス許可 には管理者の同意が常に必要です。これらの管理者には、不審なアプリケーションと機密性の高いアクセス許可 (特にテナント全体にわたるアプリケーションアクセス許可)、および特権ユーザーまたは機密ユーザーから 委任されたアクセス許可 を特定できるようにトレーニングを実行します。これは、大規模なアプリケーションガバナンスの取り組みの一環として行う必要があります。
- 不正と見なしたアクセス許可は削除します。より詳細なフォレンジック調査の実施を計画する場合、Tenable はまず証拠を保存することを推奨しています。Microsoft Entra ID ポータルには、[エンタープライズアプリケーションに付与されたアクセス許可を確認]するための専用機能があります(https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-application-permissions)。
Microsoft は、アプリケーションの同意付与の調査の実行方法と不正な同意の付与を検出して修復する方法に関する 2 つのガイドも発行しています。