露出インジケーター
| 名前 | 説明 | 深刻度 | Type |
|---|---|---|---|
| パスワードの有効期限が強制されている | Microsoft Entra ID ドメインでパスワードの有効期限を強制して、ユーザーにパスワードを変更するように頻繁にプロンプトを出すと、弱いパスワード、予測可能なパスワード、再利用されたパスワードの使用につながり、全体的なアカウント保護が低減し、セキュリティを損なう可能性があります。 | LOW | |
| フェデレーションドメインのリスト | 悪意のあるフェデレーションドメイン設定は一般的な脅威であり、攻撃者が Entra ID テナントへの認証バックドアとして使用します。既存のフェデレーションドメインと新たに追加されたフェデレーションドメインの検証は、その設定の信頼性と正当性を確認する上で不可欠です。この露出インジケーター (IoE) は、フェデレーションドメインとその関連属性の包括的なリストを提供します。これは、セキュリティステータスに関して情報に基づいた決定を行うのに役立ちます。 | LOW | |
| 認証情報を持つファーストパーティサービスプリンシパル | ファーストパーティサービスプリンシパルは強力なアクセス許可を持っていますが、表示されない、Microsoft 所有である、数が多いということから見過ごされています。攻撃者はそれらに認証情報を付加して、権限昇格や永続性などの権限の恩恵を密かに受けることができます。 | HIGH | |
| 特権ロールを持つゲストアカウント | ゲストアカウントは、外部 ID であり、特権ロールが割り当てられている場合、セキュリティリスクをもたらす可能性があります。これにより、テナント内の重大な権限が組織外の個人に付与されます。 | HIGH | |
| 既知のフェデレーションドメインのバックドア | Microsoft Entra ID では、フェデレーションを通じて別のプロバイダーに認証を委任することができます。しかし、昇格された権限を持つ攻撃者は、悪意のあるフェデレーションドメインを追加することで永続性と権限昇格を取得し、この機能を悪用することができます。 | CRITICAL | |
| 特権ロールで MFA が要求されない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、特に特権ロールが割り当てられた特権アカウントで MFA を有効にすることを推奨しています。 | HIGH | |
| 非特権アカウントに MFA がない | MFA は、弱いパスワードや漏洩したパスワードに対する、強力な保護をアカウントに提供します。セキュリティのベストプラクティスや業界標準では、非特権アカウントであっても MFA を有効にすることを推奨しています。MFA 方式を登録していないアカウントはその恩恵を受けることはできません。 | MEDIUM | |
| 不審な AD 同期ロールの割り当て | Microsoft は、Active Directory 同期のために 2 つの非表示の組み込み Entra ID ロールを設計しました。これらは、Entra Connect または Cloud Sync のサービスアカウント専用です。これらのロールには暗黙的に特権アクセス許可が付与されており、悪意のある攻撃者がそのアクセス許可を悪用してひそかに攻撃を仕掛ける可能性があります。 | HIGH | |
| パブリック M365 グループ | Entra ID に保存されている Microsoft 365 グループは、パブリックまたはプライベートのいずれかになります。テナント内のいずれのユーザーも、パブリックグループに参加して、そのデータ (チームチャット/ファイル、メールなど) にアクセスできるため、パブリックグループにはセキュリティリスクが生じます。 | MEDIUM | |
| 一時アクセスパス機能が有効 | 一時アクセスパス (TAP) 機能は、期限付きまたは使用回数が制限されているパスコードを使用する一時的な認証方法です。これは正当な機能ですが、組織でその機能を必要としない場合は、無効にしてアタックサーフェスを減らす方が安全です。 | LOW | |
| 未検証のドメイン | Entra ID のすべてのカスタムドメインの所有権を確定する必要があります。未検証のドメインは一時的にのみ保持してください。正式なドメインリストを維持管理し、効率的なレビューを行うためには、これらのドメインを検証するか削除してください。 | LOW |