不正な同意許可の検出と修復

概要 Microsoft 365 での不正な同意許可攻撃を認識して修復する方法について説明します。

Microsoft 365 での不正な同意付与攻撃とは

不正な同意付与攻撃では、攻撃者は Azure に登録されたアプリケーションを作成し、連絡先情報、電子メール、ドキュメントなどのデータへのアクセスを要求します。 その後、攻撃者はエンド ユーザーをだまして、フィッシング攻撃を通じて、または信頼できる Web サイトに不正なコードを挿入することによって、そのアプリケーションにデータへのアクセスに同意を与えます。 不正なアプリケーションに同意が付与されると、組織のアカウントを必要とせずに、データにアカウント レベルでアクセスできるようになります。 通常の修復手順 (パスワードのリセットや多要素認証 (MFA) の要求など) は、これらのアプリがorganizationの外部にあるため、この種類の攻撃には有効ではありません。

これらの攻撃では、情報を呼び出すエンティティが人間ではなく自動化であると仮定する相互作用モデルが使用されます。

Microsoft 365 での不正な同意付与攻撃の外観

この攻撃の兆候 (IOC) とも呼ばれる兆候を見つけるには、 監査ログ を検索する必要があります。 多くの Azure 登録済みアプリケーションと大規模なユーザー ベースを持つ組織の場合、ベスト プラクティスは、組織の同意付与を週単位で確認することです。

この攻撃の兆候を見つけるための手順

1. https://security.microsoft.comでMicrosoft Defender ポータルを開き、[監査] を選択します。 または、[監査] ページに直接移動するには、https://security.microsoft.com/auditlogsearch を使用します。

2. [ 監査 ] ページで、[ 検索 ] タブが選択されていることを確認し、次の設定を構成します。

   • 日付と時刻の範囲
   • アクティビティ: [すべてのアクティビティの結果を表示する ] が選択されていることを確認します。

   完了したら、[検索] を選択 します。

3. [ アクティビティ ] 列を選択して結果を並べ替え、[ アプリケーションへの同意] を探します。

4. 一覧からエントリを選択すると、アクティビティの詳細が表示されます。 IsAdminConsent が True に設定されているかどうかを確認します。

攻撃を確認する方法

以前に一覧表示された IOC のインスタンスが 1 つ以上ある場合は、攻撃が発生したことを肯定的に確認するために、さらに調査を行う必要があります。 次の 3 つの方法のいずれかを使用して、攻撃を確認できます。

• Microsoft Entra 管理センターを使用してアプリケーションとそのアクセス許可をインベントリします。 この方法は完全ですが、チェックするユーザーが多い場合は、一度に 1 人のユーザーしかチェックできません。
• PowerShell を使用してアプリケーションとそのアクセス許可をインベントリします。 これは最も速く、最も徹底的な方法であり、オーバーヘッドは最小限です。
• ユーザーにアプリとアクセス許可を個別にチェックし、修復のために結果を管理者に報告してもらいます。

organizationにアクセスできるインベントリ アプリ

ユーザーのアプリをインベントリするには、次のオプションがあります。

• Microsoft Entra 管理センター。
• PowerShell。
• ユーザーに独自のアプリケーション アクセス権を個別に列挙してもらいます。

Microsoft Entra 管理センターを使用する手順

Microsoft Entra 管理センターを使用して、個々のユーザーがアクセス許可を付与したアプリケーションを検索できます。

1. https://entra.microsoft.comでMicrosoft Entra 管理センターを開き、[Id>Users>すべてのユーザー] に移動します。 または、 ユーザー>すべてのユーザーに直接移動するには、 https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/を使用します。
2. [ 表示名 ] の値をクリックして、確認するユーザーを見つけて選択します。
3. 開いたユーザーの詳細ページで、[アプリケーション] を選択 します。

これらの手順では、ユーザーに割り当てられているアプリと、アプリケーションが持つアクセス許可を示します。

ユーザーがアプリケーション へのアクセスを列挙するための手順

ユーザーに https://myapps.microsoft.com に移動し、そこで独自のアプリケーション アクセス権を確認してもらいます。 アクセス権を持つすべてのアプリを表示し、それらに関する詳細 (アクセス範囲を含む) を表示し、疑わしいアプリまたは不正なアプリに対する特権を取り消すことができる必要があります。

PowerShell の手順

不正な同意付与攻撃を確認する最も簡単な方法は 、テナント 内のすべてのユーザーのすべての OAuth 同意許可と OAuth アプリを 1 つの .csv ファイルにダンプするGet-AzureADPSPermissions.ps1を実行することです。

前提条件

• Azure AD PowerShell ライブラリがインストールされています。
• スクリプトが実行されるorganizationのグローバル管理者アクセス許可。
• スクリプトを実行するコンピューターに対するローカル管理者のアクセス許可。

1. ローカル管理者権限でスクリプトを実行するコンピューターにサインインします。

2. GitHub からGet-AzureADPSPermissions.ps1 スクリプトをダウンロードまたはコピーして、簡単に見つけて覚えやすいフォルダーにコピーします。 このフォルダーは、"permissions.csv" 出力ファイルが書き込まれる必要がある場所でもあります。

3. スクリプトを保存したフォルダーで管理者特権の PowerShell セッションを管理者として開きます。

4. Connect-MgGraph コマンドレットを使用してディレクトリに接続します。

5. 次の PowerShell コマンドを実行します。

   .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
   

スクリプトは、Permissions.csv という名前の 1 つのファイルを生成します。 不正なアプリケーションアクセス許可付与を探すには、次の手順に従います。

1. ConsentType 列 (列 G) で、値 "AllPrinciples" を検索します。AllPrincipals アクセス許可を使用すると、クライアント アプリケーションはテナント内のすべてのユーザーのコンテンツにアクセスできます。 ネイティブ Microsoft 365 アプリケーションが正しく動作するには、このアクセス許可が必要です。 このアクセス許可を持つ Microsoft 以外のアプリケーションはすべて慎重に確認する必要があります。

2. [アクセス許可] 列 (列 F) で、委任された各アプリケーションがコンテンツに対して持つアクセス許可を確認します。 "読み取り" アクセス許可と "書き込み" アクセス許可または "すべて" アクセス許可を探し、適切でない可能性があるため、これらのアクセス許可を慎重に確認してください。

3. 同意が付与されている特定のユーザーを確認します。 高プロファイルまたは高価値のユーザーに不適切な同意が付与されている場合は、さらに調査する必要があります。

4. [ClientDisplayName] 列 (列 C) で、疑わしいと思われるアプリを探します。 スペルミスのある名前、スーパーブランド名、またはハッカーサウンドの名前を持つアプリは慎重に確認する必要があります。

攻撃の範囲を特定する

アプリケーション アクセスのインベントリ作成が完了したら、 監査ログ を確認して、侵害の完全な範囲を特定します。 影響を受けるユーザー、不正なアプリケーションがorganizationにアクセスできる期間、アプリに与えたアクセス許可を検索します。 監査ログは、Microsoft Defender ポータルで検索できます。

不正な同意付与攻撃を停止して修復する方法

不正なアクセス許可を持つアプリケーションを特定した後、そのアクセスを削除するには、いくつかの方法があります。

• 次の手順を実行して、Microsoft Entra 管理センターでアプリケーションのアクセス許可を取り消すことができます。

  1. https://entra.microsoft.comで Microsoft Entra 管理センターを開き、[Identity>Users>All users] に移動します。 または、 ユーザー>すべてのユーザーに直接移動するには、 https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/を使用します。
  2. [表示名] の値をクリックして、影響を受けるユーザーを見つけて選択します。
  3. 開いたユーザーの詳細ページで、[アプリケーション] を選択 します。
  4. [アプリケーション] ページ で 、[ 名前 ] の値をクリックして、不正なアプリケーションを選択します。
  5. 開いた [ 割り当ての詳細 ] ページで、[削除] を選択 します。

• PowerShell で OAuth 同意許可を取り消すには、「Remove-MgOauth2PermissionGrant」の手順に従います。

• PowerShell でサービス アプリ ロールの割り当てを取り消すには、「 Remove-MgServicePrincipalAppRoleAssignment」の手順に従います。

• 影響を受けるアカウントのサインインを無効にできます。これにより、アプリによるアカウント内のデータへのアクセスが無効になります。 このアクションはユーザーの生産性には適していませんが、攻撃の結果をすばやく制限する短期的な修復になる可能性があります。

• 組織内の統合アプリケーションをオフにすることができます。 このアクションは劇的です。 悪意のあるアプリへのアクセス権をユーザーが誤って付与するのを防ぎますが、すべてのユーザーがアプリケーションに同意を付与することもできなくなります。 このアクションは、サード パーティ製アプリケーションでユーザーの生産性を著しく損なうため、お勧めしません。 統合アプリのオンとオフの切り替えの手順に従って 、統合アプリをオフにすることができます。

関連項目

• エンタープライズ アプリケーションに記載されているアプリケーションは、 データにアクセスできる予期しないアプリケーションがあることを認識した後に実行する可能性のあるさまざまなアクションを管理者に説明します。
• クイック スタート: Microsoft ID プラットフォームにアプリケーションを登録 することは、同意とアクセス許可の概要です。
• トークンの有効期間ポリシーを構成すると、 同意に関連するさまざまな記事へのリンクが提供されます。
• Microsoft Entra ID のアプリケーション およびサービス プリンシパル オブジェクト は、アプリケーション モデルの中核となるアプリケーション およびサービス プリンシパル オブジェクトの概要を提供します。
• アプリケーションへのアクセスの管理 は、管理者がアプリへのユーザー アクセスを管理するために必要な機能の概要です。