休眠状態の特権ユーザー

この IoE は、Microsoft によるデータ可用性の制限により、Microsoft Entra ID P1 または P2 ライセンスなしでは動作できません。

休眠状態のユーザーとは、指定された期間 (デフォルトでは 90 日間、オプションによりカスタマイズ可能)、サインインを 1 度も成功していないために非アクティブになっているユーザーアカウントです。

休眠状態のユーザーは、次のセキュリティリスクと運用の複雑化をもたらす可能性があります。

• アカウントのパスワードが弱い場合、または変更されていない場合、攻撃者の標的となる可能性があり、侵害を誘発します。たとえば、CISA アラートは次のように報告しています。

キャンペーンは、被害を受けた組織でもう働いていないもののシステムにアカウントが残っているユーザーの休眠アカウントも標的にしています

• 潜在的な脆弱性を生み出すことにより、Entra テナントのアタックサーフェスが増大します。たとえば、同じ CISA アラート は次のように報告しています。

インシデント中のすべてのユーザーに対する強制パスワードリセットの後に、SVR 攻撃者が非アクティブアカウントにログインし、パスワードをリセットする指示に従っている様子も観察されました。これにより、攻撃者はインシデント対応の撤退アクティビティ後もアクセスを再取得することができました。

• 元従業員や元インターンなど、アクセス権を必要としなくなった個人へのアクセス権付与。
• ライセンスなどのリソースの浪費。休眠状態のユーザーを定期的に特定、非アクティブ化、または削除することで、組織はリソース割り当てを最適化し、不要なコストを削減できます。

関連 IoE [使用されたことがない特権ユーザー] も考慮してください。この IoE は、事前作成されたものの 1 度も使用されていないすべてのユーザーを特定します。 特権ユーザーの場合、リスクが高くなります。非特権ユーザーについては、関連する IOE [非特権] も参照してください。

注意:

1. この IoE は、ユーザーオブジェクトの signInActivity プロパティ内の lastSuccessfulSignInDateTime プロパティに依存しています。プロパティ lastSignInDateTime とは異なり、成功したサインインのみを報告するので、試行の失敗による中断を回避できるという利点があります。lastSuccessfulSignInDateTime プロパティは、2023 年 12 月に使用可能になりました。
2. signInActivity リソースタイプにアクセスするには、各テナントに Microsoft Entra ID P1 または P2 ライセンスが必要です。ライセンスがない場合、この IoE は休眠状態のユーザーを検出できないため、分析全体をスキップします。
3. 一度もサインインしていないユーザーや最終サインインが 2023 年 12 月以前のユーザーの場合、このプロパティは空になるため、間隔を評価するために必要なデータがありません。そのため、Tenable Identity Exposure は最終サインイン日を適切に検出できず、誤検出が発生する可能性があります。

Tenable では、休眠状態のユーザー (特に特権ユーザー) を定期的に確認し、無効化または削除することを推奨しています。それらを特定したら、次のアクションを実行してください。

1. 無効化します。
2. 数か月待機します。
3. この期間を経て、問題が報告されず、かつ組織の情報セキュリティポリシーで許可されている場合は、削除に進みます。

名前: 休眠状態の特権ユーザー

コード名: DORMANT-PRIVILEGED-USER

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure