使用されたことがない非特権ユーザー

LOW

説明

この IoE は、Microsoft によるデータ可用性の制限により、Microsoft Entra ID P1 または P2 ライセンスなしでは動作できません。

使用されたことがないユーザーとは、Entra ID で作成されてから特定の日数 (デフォルトでは 90 日間、カスタマイズ可能) の間に一度も認証に成功していないユーザーアカウントのことです。

これらは次のようなさまざまな理由でアタックサーフェスを増やしてしまいます。

  • バックドアアカウントが、このアカウントを使用したことのない元従業員やインターンなど、アクセスを必要としなくなった個人へのアクセスを許可してしまう。
  • デフォルトパスワードを継続して使用することにより、アカウントが侵害されるリスクが高くなる。たとえば、CISA アラートは次のように報告しています。

    キャンペーンは、被害を受けた組織でもう働いていないもののシステムにアカウントが残っているユーザーの休眠アカウントも標的にしています。

さらに、次のようにも報告しています。

インシデント中のすべてのユーザーに対する強制パスワードリセットの後に、SVR 攻撃者が非アクティブアカウントにログインし、パスワードをリセットする指示に従っている様子も観察されました。これにより、攻撃者はインシデント対応の撤退アクティビティ後もアクセスを再取得することができました。

  • ライセンスなどのリソースの浪費。不要なユーザーを定期的に特定、非アクティブ化、または削除することで、組織はリソース割り当てを最適化し、不要なコストを削減できます。

また、関連する IoE [休眠状態のユーザー] も考慮してください。これは、以前はアクティブだったものの、非アクティブになったすべてのユーザーを特定します。 特権ユーザーについては、関連する IOE [使用されたことがない特権ユーザー] も参照してください。

注意:

  1. この IoE は、ユーザーオブジェクトの signInActivity プロパティ内の lastSuccessfulSignInDateTime プロパティに依存しています。プロパティ lastSignInDateTime とは異なり、成功したサインインのみを報告するので、試行の失敗による中断を回避できるという利点があります。lastSuccessfulSignInDateTime プロパティは、2023 年 12 月に使用可能になりました。
  2. signInActivity リソースタイプにアクセスするには、各テナントに Microsoft Entra ID P1 または P2 ライセンスが必要です。ライセンスがない場合、この IoE は使用されたことがないユーザーを検出できないため、分析全体をスキップします。
  3. 一度もサインインしていないユーザーや最終サインインが 2023 年 12 月以前のユーザーの場合、このプロパティは空になるため、間隔を評価するために必要なデータがありません。そのため、Tenable Identity Exposure は最終サインイン日を適切に検出できず、誤検出が発生する可能性があります。

ソリューション

Tenable では、使用されたことがないユーザーを定期的に確認し、無効化または削除することを推奨しています。それらを特定したら、次のアクションを実行してください。

  1. 無効化します。
  2. 数か月など十分な期間、待機して意図しない影響が生じないことを確認します。
  3. この期間を経て、問題が報告されず、かつ組織の情報セキュリティポリシーで許可されている場合は、削除します。

インジケーターの詳細

名前: 使用されたことがない非特権ユーザー

コード名: NEVER-USED-NON-PRIVILEGED-USER

深刻度: Low

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: