露出インジケーター
| 名前 | 説明 | 深刻度 | Type |
|---|---|---|---|
| 動的オブジェクトの設定ミスと使用 | 動的オブジェクトと、それに関連する安全でない設定を検出します。 | medium | |
| BadSuccessor の危険な dMSA アクセス許可 | BadSuccessor は、dMSA を悪用する Windows Server 2025 の Active Directory 権限昇格の欠陥であり、攻撃者がアカウントリンクを操作してドメインを侵害する可能性があります。 | critical | |
| 機密性の高い Exchange のアクセス許可 | Exchange リソースに影響を与える、または Exchange グループに割り当てられている、安全でない可能性のあるアクセス許可を特定します。 | critical | |
| サービスアカウントの設定ミス | ドメインサービスアカウントの潜在的な設定ミスを表示します。 | medium | |
| 管理サービスアカウントの危険な設定ミス | 管理サービスアカウント (MSAs) がデプロイされ、適切に設定されていることを確認します。 | high | |
| プロパティセットの整合性 | プロパティセットの整合性をチェックし、アクセス許可を検証します | medium | |
| 危険な SYSVOL レプリケーション設定 | 「分散ファイルシステムのレプリケーション」(DFS-R) メカニズムが「ファイルレプリケーションサービス」(FRS) に取って代わったことをチェックします。 | medium | |
| ランサムウェアに対する不十分な堅牢化 | ランサムウェアに対する堅牢化の強化策がドメインで実装されているかを確認します。 | medium | |
| ADCS の危険な設定ミス | Active Directory 証明書サービス (AD CS) 公開鍵インフラ (PKI) に関連した、危険なアクセス許可と設定ミスがあるパラメーターをリストします。 | critical | |
| GPO 実行の健全性 | ドメインコンピューターに適用されたグループポリシーオブジェクト (GPO) が正常であることを確認します。 | high | |
| 機密性の高い危険な権限 | ディレクトリインフラのセキュリティを低下させる、機密性の高い特権の設定ミスを特定します。 | high | |
| アカウントにマップされた証明書 | オブジェクトに弱い証明書マッピングが割り当てられていないことを確認します。 | critical | |
| AD スキーマの危険な権限 | 永続化の手段を提供する可能性のある、異常と見なされるスキーマエントリをリストします。 | high | |
| Microsoft Entra Connect アカウントに関連するアクセス許可を確認する | Microsoft Entra Connect アカウントに設定されたアクセス許可が正当なものかどうかを確認します。 | critical | |
| ドメインコントローラーが不正なユーザーに管理されている | 一部のドメインコントローラーは、危険なアクセス権限が原因で非管理ユーザーによって管理される可能性があります。 | critical | |
| 機密性の高い GPO オブジェクトおよびファイルのアクセス許可の確認 | ドメインコントローラーや OU などの機密性の高いコンテナにリンクされている GPO オブジェクトとファイルに割り当てられたアクセス許可が適切かつ安全であることを確認します。 | critical | |
| DCSync のような攻撃を許してしまうルートオブジェクトのアクセス許可 | 不正ユーザーによる認証情報の窃取につながる、ルートオブジェクトの安全でないアクセス許可がないかを確認します。 | critical | |
| Windows 2000 以前と互換性のあるアクセス制御を使用するアカウント | セキュリティ対策をバイパスできてしまう可能性がある Windows 2000 以前と互換性のあるアクセスグループのアカウントメンバーについてチェックします。 | high | |
| 危険な SID History 属性を持つアカウント | SID history 属性内の特権 SID を使用するユーザーまたはコンピューターアカウントをチェックします。 | high | |
| ユーザープライマリグループ | ユーザーのプライマリグループが変更されていないことを確認します。 | critical | |
| 危険な Kerberos 委任 | 許可されていない Kerberos 委任を確認し、特権ユーザーをその委任から保護します。 | critical | |
| Kerberos サービスを実行する特権アカウント | セキュリティに影響するサービスプリンシパル名 (SPN) 属性を持つ高度な特権アカウントを検出します。 | critical | |
| 危険な信頼関係 | ディレクトリインフラのセキュリティを低下させる、間違って設定された信頼関係属性を特定します。 | high | |
| データに影響を与える危険なアプリケーションのアクセス許可 | Microsoft は、サードパーティアプリケーションが Microsoft サービスに対してアクションを実行できるようにするため (「アプリケーションのアクセス許可」と呼ばれる)、Entra ID の API を公開しています。特定のアクセス許可は、これらのサービスが保存するユーザーのデータに脅威をもたらす可能性があります。 | MEDIUM | |
| 悪用可能なルールを持つ動的グループ | 攻撃者は自己変更可能な属性を操作することで Microsoft Entra ID の動的グループを悪用し、グループメンバーとして攻撃者自身を追加できるようにする可能性があります。この悪意のある操作により、権限昇格や、グループに関連付けられた機密性の高いリソースへの不正アクセスが可能になります。 | MEDIUM | |
| 空のグループ | 空のグループがあると、混乱やセキュリティの侵害を引き起こし、リソースが未使用になる可能性があります。一般的には、グループの明確な目的を確立し、関連するメンバーが含まれるようにすることが推奨されます。 | LOW | |
| フェデレーションドメインのリスト | 悪意のあるフェデレーションドメイン設定は一般的な脅威であり、攻撃者が Entra ID テナントへの認証バックドアとして使用します。既存のフェデレーションドメインと新たに追加されたフェデレーションドメインの検証は、その設定の信頼性と正当性を確認する上で不可欠です。この露出インジケーター (IoE) は、フェデレーションドメインとその関連属性の包括的なリストを提供します。これは、セキュリティステータスに関して情報に基づいた決定を行うのに役立ちます。 | LOW | |
| 既知のフェデレーションドメインのバックドア | Microsoft Entra ID では、フェデレーションを通じて別のプロバイダーに認証を委任することができます。しかし、昇格された権限を持つ攻撃者は、悪意のあるフェデレーションドメインを追加することで永続性と権限昇格を取得し、この機能を悪用することができます。 | CRITICAL | |
| パスワードの有効期限が強制されている | Microsoft Entra ID ドメインでパスワードの有効期限を強制して、ユーザーにパスワードを変更するように頻繁にプロンプトを出すと、弱いパスワード、予測可能なパスワード、再利用されたパスワードの使用につながり、全体的なアカウント保護が低減し、セキュリティを損なう可能性があります。 | LOW | |
| 特権アカウントの命名規則 | Entra ID の特権ユーザーの命名規則は、セキュリティ、標準化、監査コンプライアンスにとって非常に重要であり、管理を容易にします。 | LOW | |
| AD と同期されている特権 Entra アカウント (ハイブリッド) | ハイブリッドアカウント (Active Directory から同期されたアカウント) が Entra ID の特権ロールを持っていると、AD を侵害した攻撃者が Entra ID にピボットできてしまうので、セキュリティリスクが発生します。Entra ID の特権アカウントは、クラウド専用アカウントでなければなりません。 | HIGH | |
| アプリケーションの無制限のユーザー同意 | Entra ID のユーザーは、外部アプリケーションが組織のデータにアクセスすることに独断で同意することができます。攻撃者はこれを「不正な同意付与」攻撃で悪用する可能性があります。アクセスを確認済み発行者に限定するか、管理者の承認を必須とすることで、これを防ぎます。 | MEDIUM | |
| 未検証のドメイン | Entra ID のすべてのカスタムドメインの所有権を確定する必要があります。未検証のドメインは一時的にのみ保持してください。正式なドメインリストを維持管理し、効率的なレビューを行うためには、これらのドメインを検証するか削除してください。 | LOW | |
| データに影響を与える危険な委任アクセス許可 | Microsoft は、Entra ID で API を公開して、サードパーティアプリケーションがユーザーの代わりに Microsoft サービスでアクションを実行できるようにしています (「委任されたアクセス許可」と呼ばれます)。特定のアクセス許可は、これらのサービスが保存するユーザーのデータに脅威をもたらす可能性があります。 | MEDIUM | |
| Entra セキュリティの既定値群が有効になっていない | Entra ID セキュリティの既定値群では、テナントの保護を強化する、Microsoft 推奨の設定が事前設定されています。 | MEDIUM | |
| 通常アカウントと同等のアクセス権を持つゲストアカウント | ゲストを通常ユーザーと見なすように Entra ID を設定することはお勧めできません。悪意のあるゲストがテナントのリソース全体を偵察する可能性があるからです。 | HIGH | |
| 管理対象デバイスの MFA 登録が必須ではない | 管理対象デバイスの MFA 登録を必須にすると、攻撃者が管理対象デバイスへのアクセス権を持っていない場合は、認証情報が盗まれたとしても、不正な MFA を登録することが難しくなります。 | MEDIUM | |
| リスクのあるサインインで MFA を要求していない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、認証要求が正当な ID 所有者からでない場合など、危険なサインインには MFA を要求することを推奨しています。 | HIGH | |
| 非特権アカウントに MFA がない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。 | MEDIUM | |
| 使用されたことがない特権ユーザー | 使用されたことがない特権ユーザーアカウントは、防御対策による検出から漏れることが多いため、侵害に対して脆弱です。さらに、それらがデフォルトパスワードのままであれば、攻撃者の主要な標的になります。 | MEDIUM | |
| M365 サービスへのアクセス権を持つ特権 Entra アカウント | 管理タスクを実行するには別の Entra アカウントを使ってください。1 つを日常に使う標準アカウント、もう 1 つを管理アクティビティにのみ使用する特権アカウントに分けます。このアプローチにより、特権アカウントのアタックサーフェスを減らせます。 | MEDIUM | |
| 強制措置が適用されていない、リスクのあるユーザー | リスクのあるユーザーをブロックして、不正アクセスや侵害の可能性を防ぎます。セキュリティのベストプラクティスとして、脆弱なアカウントが Entra ID に認証されないようにするため、条件付きアクセスポリシーを使用することが推奨されています。 | MEDIUM | |
| 無制限のゲストアカウント | デフォルトでは、Entra ID のゲストユーザーの制限されたアクセスは、テナント内のゲストユーザーの可視性を低下させるものですが、これらの制限をさらに強化することでセキュリティとプライバシーを高めることもできます。 | MEDIUM | |
| フェデレーション署名証明書の異常な有効期間 | フェデレーション署名証明書の異常に長い有効期間は、攻撃者が Entra ID で昇格権限を取得し、フェデレーション信頼メカニズムによってバックドアを仕掛けていることを示している可能性があるため、疑わしいと言えます。 | MEDIUM | |
| アプリケーションを登録できる標準アカウント | デフォルトでは、Entra ユーザーであれば誰でもテナント内でアプリケーションを登録できます。便利な機能である一方、セキュリティ上の脆弱性というほどではありませんが、一定のリスクを伴います。そのため、ベストプラクティスに従って、Tenable ではこの機能を無効にすることを推奨します。 | LOW | |
| マルチテナント認証を許可するアプリケーション | マルチテナント認証を許可する Entra アプリケーションは、この設定が十分な認識により有効にされておらず、アプリケーションコード内で適切な認証チェックが実装されていない場合、悪意のあるユーザーに不正なアクセス権を付与してしまう可能性があります。 | LOW | |
| 条件付きアクセスポリシーにより継続的なアクセス評価が無効になっている | 継続的なアクセス評価は、セキュリティポリシーの変更やユーザーステータスの変化への迅速な対応を可能にする Entra ID セキュリティ機能です。このため、無効にしないでください。 | MEDIUM | |
| オンプレミス環境でパスワード保護が有効になっていない | Microsoft Entra パスワード保護は、ユーザーが簡単に推測できるパスワードを設定できないようにして、組織のパスワードセキュリティ全体を向上させるセキュリティ機能です。 | MEDIUM | |
| パブリック M365 グループ | Entra ID に保存されている Microsoft 365 グループは、パブリックまたはプライベートのいずれかになります。テナント内のいずれのユーザーも、パブリックグループに参加して、そのデータ (チームチャット/ファイル、メールなど) にアクセスできるため、パブリックグループにはセキュリティリスクが生じます。 | MEDIUM | |
| Microsoft Authenticator 通知に追加の詳細情報を表示する | 可視性を向上させるため、Microsoft Authenticator 通知を有効にして、アプリケーション名や地域などの追加の詳細情報を表示します。これは、ユーザーが潜在的に悪意のある MFA またはパスワードレス認証のリクエストを特定して拒否するのに役立ち、MFA 疲労攻撃のリスクを効果的に軽減します。 | MEDIUM |