アプリケーションの無制限のユーザー同意

MEDIUM

Language:

説明

Entra ID は、OAuth 2.0 委任メカニズムを実装しており、ユーザーは任意のサードパーティアプリケーションに同意することができます。それにより、ユーザーはこれらのアプリケーションに、自分のデータだけでなく、自分がアクセス可能な任意の組織データへのアクセスも付与します。

攻撃者は、機密性の高いアクセス許可を必要とする正当なビジネスアプリケーションにしばしばなりすます悪意のあるアプリケーションを使用して、ソーシャルエンジニアリング攻撃を仕掛けることができます。これらのアクセス許可が付与されると、攻撃者はデータを盗んだり、ユーザーに代わってアクションを実行したりできます。これらの攻撃は、「不正な同意付与」や「同意フィッシング」と呼ばれています。

Entra ID は、アプリケーションのユーザー同意に関して、次の 3 つのオプションを提供しています。

[Do not allow user consent] (ユーザーの同意を許可しない): 最も安全なオプションです。
[Allow user consent for apps from verified publishers, for selected permissions] (選択されているアクセス許可について、発行者確認済みアプリに対するユーザーの同意を許可する): Microsoft は、この中間オプションを推奨しています。これは、機密性の低いアクセス許可のみを許可し、「発行者確認済み」のアプリケーションのみにアクセスを限定することでリスクが軽減されるためです。
[Allow user consent for apps] (アプリに対するユーザーの同意を許可する): 安全性が最も低いこのデフォルトのオプションにより、ユーザーがほとんどのアクセス許可 (管理者用に予約されているものを除く) に関して、外部アプリケーションを含め、任意のアプリケーションに同意できるようになります。

デフォルトでは、この IoE は Entra ID の安全性の低いオプションだけに不適切のフラグを立てます。セキュリティの機密性を高めるために、IoE の [厳密] オプションを有効にできます。有効にすると、安全性の低い Entra ID オプションと中程度の Entra ID オプションの両方にフラグが立てられます。

BOD 25-01 により強制される、CISA 「Microsoft Entra ID の M365 での安全な設定ベースライン」の MS.AAD.5.2v1 ポリシーでは、「管理者だけがアプリケーションの同意を許可されるべきである」と要求しています。

ソリューション

Tenable は、少なくとも中間オプション [Allow user consent for apps from verified publishers, for selected permissions] (選択されているアクセス許可について、発行者確認済みアプリに対するユーザーの同意を許可する) を選択して、Microsoft のアドバイスに従うことを推奨しています。セキュリティ要件がより厳格な組織では、最も安全なオプション [Do not allow user consent] を選択することもできます。

制限を有効にすると、特定のロールを持つ Microsoft Entra の管理者は、アプリケーションの同意を管理し、同意要求を評価することが求められます。管理者の同意要求を確認する必要もあります。これにより、管理者の負担を増やすことになります。正当なアプリケーションとアクセス許可のみを有効にできるように、管理者が十分なトレーニングを受けられるようにしてください。

ユーザーがアプリケーションに同意する方法の設定方法を説明している Microsoft ガイドに従ってください。このガイドには、Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用する場合の手順が含まれています。

選択したオプションを変更しても、以前の同意が取り消されることはありません。そのため、ソーシャルエンジニアリング攻撃がこの手法を悪用している可能性を疑っている場合は、注意してください。[テナントに影響を与える危険な API アクセス許可] および [データに影響を与える危険な API アクセス許可] IoE の結果を参照して、悪意のあるアクセス許可や過剰に付与されているアクセス許可を特定してください。

「リスクに基づくステップアップ同意」を有効にすることも検討できます。

インジケーターの詳細

名前: アプリケーションの無制限のユーザー同意

コード名: UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報:

戦術: TA0001 - 初期アクセス
- テクニック: T1566 - フィッシング
戦術: TA0004 - 権限昇格
- テクニック: T1098.001 - アカウント操作: 追加のクラウド認証情報, T1098.003 - アカウント操作: 追加のクラウドロール
戦術: TA0006 - 認証情報アクセス
- テクニック: T1528 - アプリケーションアクセストークンの窃取
戦術: TA0008 - ラテラルムーブメント
- テクニック: T1550.001 - 代替認証マテリアルの使用: アプリケーションアクセストークン