未検証のドメイン

Microsoft Entra ID テナントは、外部ドメインとフェデレーションして、認証と承認のために別のドメインと信頼を確立することができます。 しかし、悪意のある攻撃者が Microsoft Entra ID で昇格された権限を取得すると、このフェデレーション方式を悪用し、バックドアを仕掛ける可能性があります。​これは、攻撃者が独自のフェデレーションドメインを追加したり、既存のドメインを編集して独自に設定したセカンダリ設定を追加したりすることで達成されます。

Entra ID で設定されたカスタムドメインを未検証の状態で長期間放置しないことをお勧めします。

Microsoft がこの問題を修正した 2020 年の春まで、新しい未検証のドメインを使用してフェデレーションドメインにバックドアを仕掛けることも可能でした。これは、オープンソースの攻撃者ツール AADInternals の New-AADIntBackdoor コマンドレットを使って実行することができます。

この露出インジケーター (IoE) は、Entra ID 環境内の未検証のカスタムドメインをすべてリストし​、その正当性を検証することができます。

この露出インジケーター (IoE) の検出結果にリストされた未検証のカスタムドメインは、攻撃者が仕掛けたバックドアである可能性があるため​、あるいは実行を容易にしてしまう可能性があるため、対処する必要があります。

Azure ポータルでドメインのリストを表示するには、カスタムドメイン名ブレードにアクセスし、[状態] 列で [未検証] としてマークされているドメインを探します。悪意のある可能性があるドメインは、検出結果でリストされている名前と一致します。 MS Graph API の PowerShell コマンドレットの Get-MgDomain を次のように実行して、ドメインをリストできます。

Connect-MgGraph -Scopys "Domain.Read.All"
Get-MgDomain -All | ? { $_.IsVerified -eq $True }

これらの未検証ドメインの設定を完了するか、削除してください。

正当な信頼できるドメインである場合は、ドメインレジスタで必要な DNS エントリを作成してから、検証プロセスを完了する必要があります。

または、フォレンジック調査を実施して​、ドメインが侵害されたかどうかを確認し、その侵害の範囲を評価します。 カスタムドメインを追加するには、「グローバル管理者」ロールと他のあまり知られていない可能性がある Entra ロールなど、昇格された権限が通常は必要になるため、これらの権限が不正に使用されると、Entra ID が完全に侵害される可能性があります。

実行する可能性があるフォレンジック分析のために証拠を保存した​後、ドメインを不正と見なした場合は、Remove-MgDomain を使用して削除します。 最後に、攻撃者がバックドアなどの他の持続性のあるメカニズムを設定している可能性を予測します。これらの更なる脅威も特定して排除するために、インシデント対応の専門家と相談してください。

名前: 未検証のドメイン

コード名: UNVERIFIED-DOMAIN

深刻度: Low

タイプ: Microsoft Entra ID Indicator of Exposure