トークンの乗っ取り:CylanceEDGE でセッショントークンの悪用を阻止
原文のブログはこちらからご覧いただけます。
不正アクセスの阻止は、サイバーセキュリティにおける最も基本的な課題の 1 つです。攻撃者が標的のシステムへの侵入に使う手口は多岐にわたる可能性があるため、万能なソリューションを見つけるのは至難の業です。とはいえ、多くの認証システムは、その中心に見落とされがちな重大な脆弱性を抱えています。「セッショントークンの悪用」です。
セッショントークンを悪用するには、攻撃者がユーザーのアクセストークンを制御できる必要があります。それを可能にする一般的な方法は、スピアフィッシングキャンペーンを通じて、悪意のあるコードをシステムに挿入するか、侵害したユーザーの資格情報を使用して新しいプロセスを開始することです。次に、脅威アクターは、検知されることなく環境内を横展開できるよう、特権ユーザーと同じ権限での操作が可能になるまで特権を昇格させます。そうすれば、保存されている資格情報を使用して、ローカルだけでなくネットワーク全体で自らを認証できるようになります。シングルサインオン(SSO)シナリオでは、ID プロバイダ(IdP)が盗まれたトークンを受け入れると、攻撃者は複数のアプリケーションに制限なくアクセスできます。
多くのアプリケーションやサービスでユーザーセッションを維持するために不可欠なセッショントークンは、攻撃者の標的になりがちです。同時に、昨今の大規模な分散型アプリケーションや従業員の業務の高度なモバイル化により、防御する側にとってこのクラスの攻撃の検知および阻止が難しくなっています。
SSE を使用してトークン悪用のリスクを軽減
こうした現実を踏まえ、CylanceEDGE™ をはじめとするセキュリティサービスエッジ(SSE)ソリューションの重要性は、最新の認証システムを防御するうえでますます高まっています。BlackBerry は創業以来 ID 保護の第一人者であり続け、社内の専門チームは顧客アカウントのセキュリティを確保し、自社の製品とサービスに安全な認証のベストプラクティスを取り入れるべく尽力してきました。本稿では、セッショントークンの悪用が重大なセキュリティ侵害につながった実際のインシデントについて考察し、防御を強化して、堅牢で使いやすく、脅威環境の変化に適応できるシステムを構築するために SSE ソリューションが果たす役割を探ります。
セッショントークンの悪用で高まる脅威
最近、ある ID プロバイダ(IdP)で起きた侵害が大きな話題となり、セッショントークン攻撃が注目を集めました。2023 年 10 月、ある ID アクセスシステムのプロバイダに顧客からの不審なアクティビティに関する問い合わせが殺到し、同社は未知のハッカーが、盗んだ資格情報を使用して社内のサポートケース管理システムにアクセスしたと発表しました。被害に遭った顧客がアップロードした HTTP アーカイブファイルの多くにはセッショントークンが埋め込まれており、脅威アクターはそれを取り出して使用することで多数の顧客アカウントの侵害に成功したのです。
2023 年 11 月まで調査を続けた同社は、セッショントークンの窃取による被害を直接受けた 134 の企業を特定しましたが、そこにはサイバーセキュリティおよびIT 管理分野のサービスプロバイダも複数含まれていました。
この侵害は広範囲に被害をもたらしたことから多くの注目を集めましたが、最近のセッショントークンの悪用例はこれだけではありません。例えば、一般的なリモートアクセスインフラストラクチャ管理製品の脆弱性を突いて、攻撃者がセッショントークンの悪用に成功したケースもあります。攻撃者は、ユーザーがログアウトした後もずっと、標的のネットワークにアクセスし続けることができました。
ほかにも、ある大手メディア複合企業が、この脆弱性を悪用するハッカーらが約 3,600 万人にも及ぶ顧客の秘密情報にアクセスしたと発表しています。また、LockBit のアフィリエイトなど、一部のランサムウェアオペレータもこの手口を用いていることが知られています。
人気のある開発プラットフォームもトークンの悪用に苦しんできたことは誰もが知るところです。2022 年 4 月には、攻撃者がサードパーティインテグレータに対して発行された OAuth トークンのハイジャックに成功し、それらのトークンを複数のリポジトリへの不正アクセスに悪用しました。このインシデントは、コード管理をプラットフォームプロバイダに頼っている多くの組織に大きな脅威をもたらしました。
これらのケースは、トークンハイジャックがいかにカスケード効果を及ぼし得るかを示す典型的な事例と言えます。つまり、最初に小さな足掛かりをつかんで、最終的には相互接続されたシステムとサービスから成るネットワーク全体を危険にさらしてしまうのです。
CylanceEDGE SSE がセッショントークンの悪用を防御する仕組み
こうしたセッショントークンの悪用のような最新の脅威を防御するのに、従来のセキュリティ対策が適していないのは明らかです。CylanceEDGE なら、ゼロトラストネットワークアクセス(ZTNA)や、セキュア Web ゲートウェイ(SWG)、クラウドアクセスセキュリティブローカー(CASB)といった機能をはじめとする多種多様なセキュリティサービスを、今日の分散型アプリケーションやユーザーへのアクセスを保護する単一のソリューションに統合できます。防御担当者がセッショントークンの悪用に対する堅牢な防御を組み込むための、一連の充実した機能が搭載されています。以下にその例を示します。
- 継続的な認証と認可:ゼロトラストセキュリティアーキテクチャの基本理念の 1 つは、従来のセッションやアイドルタイムアウトから継続的認証への移行です。CylanceEDGE は、認証を一度限りのこととして済ませずに、ユーザーのアクティビティとコンテキストを継続的に評価することにより、組織が認証に対する動的なアプローチを取り入れられるようにします。この継続的な評価プロセスにより、侵害されたセッショントークンに関連するリスクが大幅に軽減されます。
- IP の固定化とセッションバインディング:CylanceEDGE は、IP の固定化とセッションバインディングにより、セッショントークンを IP アドレスなどの特定のユーザー属性と結び付けて、セキュリティを強化します。この方法では、攻撃者が元のユーザーの環境を厳密に模倣する必要があるため、窃取したトークンを悪用することが極めて困難になります。
- 認証の多様化:多くの場合、組織は認証システムに対して画一的なアプローチを採用しています。しかし残念ながら、すべての認証要件を同じように設定してよいわけではありません。考えられるユースケースごとに、コスト、リスクプロファイル、利便性のバランスをとることが重要です。CylanceEDGE の SSE(セキュリティサービスエッジ)を使用すれば、認証、認可、多要素認証(MFA)のための 各ID プロバイダを容易に組み合わせることができます。これにより、異なるユーザーグループやアプリケーションの特定のニーズやリスクプロファイルに合わせてセキュリティ対策をカスタマイズできるようになります。
- ゼロトラストネットワークアクセス:CylanceEDGE は、ZTNA の原則を組み込むことで、組織がネットワークセグメンテーションを実装できるようにします。この戦略は、侵害が発生した場合に被害を抑えるうえで非常に重要です。ZTNA は、ユーザーが必要なネットワークリソースにのみアクセスできるようにして、セッショントークンの侵害による被害の可能性を最小限に抑え、攻撃者がネットワーク内で横展開できないようにします。
- 監視と調査のための詳細な可視化:また、CylanceEDGE では、ユーザーのアクティビティと認証イベントを詳細に可視化できます。トークンの悪用を示している可能性のある異常なパターンを検出するには、このレベルの監視が不可欠です。また、プラットフォームの調査機能により、組織は潜在的なセキュリティインシデントに迅速に対応して軽減し、トークンの使用におけるいかなる異常にも直ちに対処できるようになります。
SSE アプローチで ID ベースのサイバー攻撃を阻止
セッショントークンの悪用をはじめとする ID 関連のエクスプロイトは、重大かつ過小評価されがちなサイバーセキュリティ上の脅威をもたらします。本稿で引用したインシデントは、単なる個別の事例ではなく、現代の企業が直面している ID ベースの脅威のより大規模なパターンの一部であり、認証とセッション管理に対する動的で適応型のアプローチの必要性を浮き彫りにしています。CylanceEDGE のようなソリューションの採用は、組織の防御力の強化に向けた戦略的な取り組みと言えます。
ぜひ、CylanceEDGE の利点を直接体験してください。現在、本製品の革新的な ZTNA 機能を評価できる無料トライアルを提供しています。これらの機能は、エンドユーザーエクスペリエンスを簡素化し、管理の負担を軽減しながら、大きな被害をもたらす侵害のリスクを抑えられるよう設計されています。認証と ID セキュリティへのアプローチを変革し、進化し続ける脅威に直面するお客様の企業の保護に役立ちます。
