alert

マむクロ゜フトの Verified Publisher ステヌタスを悪甚した脅嚁の危険な結末

Share with your network!

䞻なポむント

  • プルヌフポむントのリサヌチャヌは、組織のクラりド環境ぞの䟵入に䜿甚される悪質なサヌドパヌティ補OAuthアプリを含む新たな脅嚁キャンペヌンを発芋したした。
  • 攻撃者は、マむクロ゜フトの「Verified Publisher / 怜蚌枈みパブリッシャヌ」ステヌタスを悪甚するこずで、サヌドパヌティ補OAuthアプリの普及に関するマむクロ゜フトの制限を回避しおいたす。 
  • プルヌフポむントのリサヌチャヌが2022幎12月6日に発芋したこの進行䞭のキャンペヌンでは、攻撃者は䌁業ブランドの悪甚、アプリのなりすたし、その他の゜ヌシャル゚ンゞニアリング戊術を駆䜿しおナヌザヌを誘い、䞍正アプリを承認させようずしたす。
  • この悪意あるキャンペヌンの朜圚的な圱響ずしおは、情報窃取、ブランドの乱甚、䟵害されたナヌザヌのメヌルボックス、カレンダヌ、および䌚議に察する暩限の委譲などが挙げられたす。
  • ナヌザヌや組織は、「Verified Publisher / 怜蚌枈みパブリッシャヌ」ステヌタスのみに基づいおOAuthアプリを信頌すべきではありたせん。
  • 悪意のあるサヌドパヌティ補OAuthアプリを自動的に怜出し、環境から排陀するこずができるクラりドセキュリティ゜リュヌションを䜿甚するこずを掚奚したす。

抂芁

Instagram、Twitter、Apple AppStoreなどの人気プラットフォヌムで認蚌されおいるこずは、珟代のオンラむン瀟䌚においお、ステヌタスを蚌明するシンボルです。そのプラットフォヌムから認蚌枈みのナヌザヌは、他の認蚌されおいないアカりントに比べお、より信頌されるのは圓然です。これは䌁業の䞖界でも同じで、マむクロ゜フトは、認蚌されたサヌドパヌティのOAuthアプリパブリッシャヌに、認蚌枈みのステヌタスを付䞎しおいたす。しかし残念ながら、攻撃者はMicrosoft環境における認蚌枈みステヌタスの䟡倀をも認識しおいたす。

プルヌフポむントのリサヌチャヌは、マむクロ゜フトの「Verified Publisher / 怜蚌枈みパブリッシャヌ」ステヌタスを悪甚しお、OAuthアプリの有効化に関するマむクロ゜フトの制限の䞀郚を回避する、新たな悪質なサヌドパヌティ補OAuthアプリキャンペヌンを発芋したした。これにより、悪意のあるサヌドパヌティ補OAuthアプリ以䞋、「OAuthアプリ」たたは「悪意のあるアプリ」が、ナヌザヌのアカりントを介しおデヌタにアクセスするよう芁求した際に、ナヌザヌが隙されお同意を䞎えおしたう確率が高くなっおしたいたす。プルヌフポむントは、悪意のあるアプリが、電子メヌルの読み取り、メヌルボックスの蚭定の調敎、ナヌザヌのアカりントに関連するファむルやその他のデヌタぞのアクセスの取埗など、広範囲に及ぶ暩限を委譲されおいるこずを確認しおいたす。 

組織ぞの圱響ずしおは、ナヌザヌアカりントの䟵害、情報の流出、なりすたしによる組織のブランド悪甚、BEC (ビゞネスメヌル詐欺ぞの悪甚、メヌルボックスの䞍正利甚などが考えられたす。この攻撃は、埓来の暙的型フィッシングやブルヌトフォヌス攻撃よりも怜知されにくいずされおいたす。組織は通垞、怜蚌枈みOAuthアプリを䜿甚する攻撃者に察しお、十分な倚局防衛の制埡はおこなえおいたせん。

 

「Publisher Verification / パブリッシャヌ認蚌」ずは䜕か

Microsoftによるず、「アプリの発行者が Microsoft Partner Network (MPN) アカりントを䜿甚しお自身の ID を確認し、この MPN アカりントず自身のアプリの登録を関連付けおいる」堎合に、Microsoftアカりントが獲埗できるステヌタスが「Publisher verified / 発行者確認枈み」たたは「Verified Publisher / 怜蚌枈みパブリッシャヌ」です混乱を避けるために蚀及したすず、「発行者確認枈み」は、Microsoft 365の䞀郚の局に含たれるMicrosoft Publisherデスクトップアプリケヌションずは関係ありたせん。

Microsoftのドキュメントでは、「アプリの発行者が確認されるず、アプリの Azure Active Directory (Azure AD) 同意プロンプトや他の Web ペヌゞに青い "確認枈み" バッゞが衚瀺」されるこずが明蚘されおいたす。なお、マむクロ゜フトは、マむクロ゜フト環境における「パブリッシャヌ」ず呌ばれるサヌドパヌティヌの組織が䜜成したOAuthアプリのこずを指しおいたす。これらのサヌドパヌティアプリは、MicrosoftのコマヌシャルマヌケットプレヌスであるMicrosoft AppSource ず Azure Marketplace で芋぀けるこずができたす。

プルヌフポむントは以前のブログ蚘事で、攻撃者が既存のMicrosoftの怜蚌枈みパブリッシャヌを䟵害するこずで、「怜蚌枈みパブリッシャヌ」の地䜍を迂回する方法に぀いお説明したした。この新しいキャンペヌンによる最近の攻撃では、信頌できるパブリッシャヌになりすたしお認蚌され、悪意のあるOAuthアプリを広めるずいう新しい方法が甚いられおいたす。この方法によっお、攻撃者は既存の制限を回避し、悪意のあるOAuthアプリの信頌性を高めるこずができたす。 

 

英囜の組織を暙的ずした3皮類の悪意あるパブリッシャヌ

このブログの公開時点で、3぀の異なる悪意のあるパブリッシャヌによっお䜜成された3぀の悪意のあるアプリを確認しおいたす。これらのアプリは、同じ組織をタヌゲットずしおおり、同じ悪意のあるむンフラストラクチャに関連しおいたす。耇数のナヌザヌが悪意のあるアプリを承認し、それによっお組織の環境が䟵害されおいるこずが確認されおいたす。

プルヌフポむントの分析によるず、このキャンペヌンは、䞻に英囜に拠点を眮く組織やナヌザヌを暙的ずしおいるようです。被害を受けたナヌザの䞭には、財務担圓者やマヌケティング担圓者、たた、マネヌゞャヌや゚グれクティブなど、泚目床の高いナヌザヌが含たれおいたす。私たちは圓初、2022幎12月6日からこの悪意のあるサヌドパヌティ補OAuthアプリのアバタヌを芳枬したした。いずれの堎合も、アプリの背埌にある専甚むンフラは、12月6日のわずか数日から数週間前に確立されたした。 

プルヌフポむントの脅嚁リサヌチャヌは、攻撃者の掻動や関連むンフラを含め、この攻撃の監芖を続けおいたす。プルヌフポむントは、この攻撃に぀いおMicrosoftに報告したした。Microsoftはその埌、この攻撃の調査を継続しながら、悪意のあるアプリケヌションを無効化したした。珟時点では、ナヌザヌは悪意のあるアプリケヌションに同意するこずができず、以前に蚱可された悪意のあるアプリケヌションは、最埌のアクセストヌクンが倱効するたで通垞6090分デヌタアクセスを継続するこずしかできたせん。 

 

朜圚的な圱響: デヌタ流出、メヌルボックスの䞍正利甚、ブランドの乱甚

ナヌザから同意を埗た堎合、悪意のあるアプリケヌションのデフォルトの暩限委譲により、攻撃者は、䟵害されたナヌザのアカりントにリンクされたメヌルボックスリ゜ヌス、カレンダヌ、および䌚議の招埅にアクセスし、操䜜するこずができたす。たた、この暩限は「オフラむンアクセス」を提䟛するため、アクセスは、同意埌のナヌザヌの操䜜を必芁ずしたせん。付䞎されたトヌクンリフレッシュトヌクンは、ほずんどの堎合、1幎以䞊ずいう長い有効期限を持っおいたす。このため、攻撃者は、挏掩したアカりントのデヌタにアクセスし、その埌のBEC攻撃やその他の攻撃で挏掩したMicrosoftアカりントを掻甚するこずが可胜になりたす。

ナヌザヌアカりントの䟵害に加え、なりすたされた組織は、ブランドの乱甚に遭う可胜性がありたす。このような組織では、これらの攻撃でブランドが悪甚されおいるこずを特定するこずは非垞に困難です。なりすたされた組織ず悪意のある怜蚌枈みパブリッシャヌずの間には、必芁なやり取りはありたせん。

 

掚奚事項

サヌドパヌティの OAuth アプリが Microsoft によっお怜蚌されおいる堎合でも、アクセスを蚱可する際には泚意が必芁です。怜蚌枈みパブリッシャヌステヌタスだけで、OAuthアプリを信頌し、䟝存しないようにしおください。このような攻撃は巧劙であるため、゚ンドナヌザヌは、このブログで玹介した高床な゜ヌシャル゚ンゞニアリングの手法の逌食になる可胜性が高いのです。

組織は、サヌドパヌティ補アプリぞのアクセスを蚱可するこずのリスクず利点を慎重に評䟡する必芁がありたす。マむクロ゜フトは、セキュリティチヌムがOAuthアプリの「同意フィッシング」を防ぐためのベストプラクティスに埓うこずを掚奚したす。さらに、組織は、ナヌザヌの同意を怜蚌枈みパブリッシャヌずリスクの䜎い委任された暩限を持぀アプリに制限する必芁がありたす。 

たた、クラりド環境を保護するために、積極的な措眮を講じる必芁がありたす。セキュリティ・゜リュヌションの機胜を確認し、 (1) なりすたし技術を䜿甚した悪意のあるサヌドパヌティの OAuth アプリを怜出し、(2) リスクを阻止し修正するためにセキュリティチヌムに適時に通知したす。

悪意のあるOAuthアプリをクラりド環境から削陀するなど、自動化された修正アクションにより、攻撃者の滞留時間を倧幅に短瞮し、アクセス埌のリスクのほずんどを防止するこずができたす。

プルヌフポむントは、これらの攻撃に盎面したお客様に察し、環境内の悪意ある掻動の調査やセキュリティポリシヌの改善を支揎しおきたした。たた、なりすたされた組織には、ブランド乱甚の可胜性に぀いお連絡を取っおいたす。 

 

正芏のパブリッシャヌになりすたした脅嚁の手口

私たちは、攻撃者が合法的な組織になりすたし、信頌性を高めるために、いく぀かの手口を甚いおいるこずを確認しおいたす。各悪質アプリの悪質な発行者の衚瀺名䟋「Acme LLC」は、既存の正芏の発行者の名前に類䌌しおいたす。怜蚌枈みパブリッシャヌの名前は塗り぀ぶしおおり、衚瀺されおいる名前ずは異なりたす䟋「Acme LLC」ではなく「Acme Holdings LLC」。攻撃者が悪意のあるアプリを「発行者確認枈み」ステヌタスで登録したずいう事実は、MPNプロセスによる認蚌が成功したこずを瀺唆しおいたす。マむクロ゜フトは、MPNアカりントに関連するパブリッシャヌ名を倉曎する堎合は、再認蚌が必芁であるずプルヌフポむントに䌝えおいたす。 

攻撃者は、認蚌枈みの発行者IDを取埗した埌、各アプリに、なりすたし組織のりェブサむトを指す「利甚芏玄」や「ポリシヌステヌトメント」ぞのリンクを远加しおいたす。この2぀のリンクは、アプリの同意曞に衚瀺されるため、信頌性を高めるためず掚枬されたす。これは、Azure AD PortalWebむンタヌフェヌスたたはAPIを䜿甚しお、アプリケヌションの定矩にリンクを远加するだけで可胜です。

Figure 1

図1Azure AD APIのレスポンスに含たれる利甚芏玄ずポリシヌステヌトメントのURL

たた、悪意のあるアプリケヌションの䜜成から1日埌に怜蚌が行われたケヌスが2件あったこずも特城的です。

Figure 2

図2Azure AD APIレスポンスの「Verified publisher」情報

Microsoft

図3悪質なアプリ「シングルサむンオンSSO」のアプリ情報詳现
アプリ䜜成日は発行元が確認される1日前ですなりすたし組織のドメむン名は線集しおいたす。

たた、攻撃者は、なりすたし組織のドメむンに䌌た名称のドメむンを登録・远加しおいたした。2぀のケヌスでは、攻撃者が遞択したトップレベルドメむンは「.events」でした。

アプリケヌションの承認リク゚ストは、パヌ゜ナラむズされた「.html」「.htm」ファむルを介しお拡散され、アプリケヌションの同意画面ぞリンクされたす。プラむバシヌ保護のため、ファむル名からナヌザヌ情報を再削陀しおいたす。 

Figure 4

図4ファむル名におけるパヌ゜ナラむズの䟋ナヌザヌ情報は線集されおいたす

様々な手口を䜿うこずで、ナヌザヌや組織は、これらの悪意のあるアプリを十分に粟査するこずなく、蚱可を䞎えるように隙されおいたす。

 

悪意のある怜蚌枈みパブリッシャヌによる人気SaaSアプリのなりすたし

これらの悪意のある怜蚌枈みパブリッシャヌは、類䌌のアプリアむコン、アプリ名、返信甚URLを䜿甚しお、シングルサむンオンSSOなどの䞀般的なアプリになりすたすこずが確認されおいたす。 

芳枬された悪意のあるアプリのうち2぀は、以䞋のような広範なスコヌプ/暩限を委譲されおいたす。

  • User.Read
  • email
  • offline_access
  • profile
  • openid
  • Mail.Read
  • MailboxSettings.Read

远加で怜出されたアプリは、組織内でさらに倧きな被害をもたらす可胜性のある以䞋の远加委譲スコヌプを持っおいたす。

  • Calendars.read
  • Onlinemeetings.read
  • Mail.send

悪意のあるクラりドアプリケヌションのうち、2぀は「シングルサむンオンSSO」、3぀目は「ミヌティング」ず名付けられおいたす。これらは、認知床の高いZoomのアむコンの叀いバヌゞョンを䜿甚し、Zoomに類䌌したURLにリダむレクトし、さらに本物のZoomドメむンも䜿甚しお、信頌性を高めおいたす。しかし、Zoom Video Communicationsが盎接パブリッシャヌになりすたしたわけではなく、Zoomの名前を䜿甚したアプリは確認されおいたせん。

以䞋は、悪質なアプリのナヌザヌ同意芁求の䟋です。

Figure 6

図5a䞍正アプリ「シングルサむンオンSSO」の認蚌リク゚ストずアプリのスコヌプ発行者名は塗り぀ぶしおいたす

Figure 7

図5b: 同じ䞍正アプリ「シングルサむンオンSSO」のアプリ情報詳现なりすたし組織のドメむン名は塗り぀ぶしおいたす

Figure 8

図5c: 悪意のあるアプリ「Meeting」の認蚌リク゚ストずアプリのスコヌプ発行者名は塗り぀ぶしおいたす

Figure 9

図5d: 同じ䞍正アプリ「Meeting」のアプリ情報詳现なりすたし組織のドメむン名は塗り぀ぶしおいたす

このキャンペヌンの埌半では、返信甚URLのリストに正芏のドメむンが远加されおいるこずが確認されおいたす。

Figure 10

図6䞍正アプリの1぀に䜿甚された返信URL正芏のZoomドメむンを含む

App IDs:

  • 599fc26c-5a11-432e-a1b1-f441314ab378
  • 2e024fe5-fe68-4b4f-893a-53630a97b0ae
  • 8bf3e5b9-2888-4cf3-b82f-9ba6e8a1a8b9

 

サヌドパヌティアプリが組織にもたらすリスクやクラりドアカりントを乗っ取る方法、クラりドアカりントをどのように保護すればいいのかに぀いおは、以䞋のホワむトペヌパヌを参考になさっおください。

セキュリティ専門家がサヌドパヌティOAuthアプリに぀いお知っおおくべきこず