API トークンを持つユーザー

LOW

説明

Okta ドキュメント (Classic Engine/Identity Engine) では、API トークン (または「SSWS トークン」) は、特定のユーザーが作成した Okta API リクエストの認証情報として定義されています。これらのトークンを使用して実行されるアクションは、その所有者の代理で行われます。API トークンをシークレットとして扱い、パスワードと同じようにセキュリティ保護してください。これらのトークンは、作成者のアクセス許可を継承します。ユーザーのアクセス許可が変更されると、トークンのアクセス許可もそれに応じて変更されます。スーパー管理者、組織管理者、グループ管理者、グループメンバーシップ管理者、読み取り専用管理者は、トークンを作成することができます。

ほとんどのユーザー作成 API トークンは正当であり、アクションの自動化に使用されます。しかし、攻撃者は、管理者に代わって悪意のあるトークンを作成し、永続的なアクセスを維持することで、これを悪用することができます。

方法と目的:

  • この IoE は、Okta API の API トークンのみを注視します。他のトークンタイプは、その脅威環境からして、悪用される可能性が低いためです。
  • この IoE は、ステータスが「アイドル状態」であるトークンを報告します。トークンがまだ有効であり、いつでも悪用される可能性があるためです。

ソリューション

この露出インジケーターは、API トークンが正当であるかどうかを判断できません。トークンの所有者に連絡を取り、その正当性を手動で確認する必要があります。

覚えのないトークンがある場合、それは攻撃者が永続化のために作成した可能性があるので、取り消してください。深刻な疑いがある場合は、フォレンジック分析を実施することを検討してください。

アタックサーフェスを減らし、悪用の可能性を減らすために、正当な API トークンでも不要であるなら取り消すことを検討することもできます。

インジケーターの詳細

名前: API トークンを持つユーザー

コード名: USER-WITH-API-TOKEN

深刻度: Low

タイプ: Okta Indicator of Exposure

MITRE ATT&CK 情報: