パスワード攻撃とは何ですか?
フェデレーションシングルサインオンの要件は、インターネット経由で認証するためのエンドポイントの可用性です。 インターネット上で認証エンドポイントが利用可能になると、ユーザーが企業ネットワーク上にいなくてもアプリにアクセスできるようになります。
これは、一部の悪意のある攻撃者がインターネット上で使用可能なフェデレーション エンドポイントを利用し、これらのエンドポイントを使用してパスワードを判断しようとしたり、サービス拒否攻撃を行ったりすることも意味します。 このような攻撃の1つには、 より一般的なものがパスワード攻撃と呼ばれるものがあります。
一般的なパスワード攻撃には 2 種類あります。 パスワードスプレー攻撃とブルートフォースパスワード攻撃。
パスワード スプレー攻撃
パスワードスプレー攻撃では、これらの悪意のあるアクターは、さまざまなアカウントやサービスで最も一般的なパスワードを試して、検出可能なパスワードで保護された資産にアクセスします。 通常、これらは多くの異なる組織および ID プロバイダーにまたがります。 たとえば、攻撃者は、一般的に利用可能なツールキットを使用して複数の組織内のすべてのユーザーを列挙した後、これらのすべてのアカウントに対して "P@$$w0rD" と "Password1" を試してみます。 アイデアを得るために、攻撃は次のようになります:
ターゲット ユーザー | ターゲットパスワード |
---|---|
User1@org1.com | パスワード1 |
User2@org1.com | パスワード1 |
User1@org2.com | パスワード1 |
User2@org2.com | パスワード1 |
… | … |
User1@org1.com | P@$$w0rD |
User2@org1.com | P@$$w0rD |
User1@org2.com | P@$$w0rD |
User2@org2.com | P@$$w0rD |
この攻撃パターンは、個々のユーザーまたは企業の視点ポイントから、攻撃が失敗した分離されたログインのようなものであるため、ほとんどの検出手法をすり抜け します。
攻撃者にとってこれは数字ゲームであり、彼らは非常に一般的なパスワードがあることを知っています。 攻撃者は、数千のアカウントが攻撃を受けた場合に成功します。 これらのアカウントを使用して、電子メールからデータを取得したり、連絡先情報を取得したり、フィッシングリンクを送信したり、パスワードスプレーターゲットグループだけを展開したりします。 攻撃者は、これらの最初のターゲットがだれであるかについてはあまり気にしません。攻撃者は利用できるいくつかの成功をおさめているだけです。
ただし、AD FS とネットワークを正しく構成するためにいくつかの手順を実行することで、AD FS エンドポイントをこれらの種類の攻撃に対してセキュリティで保護することができます。 この記事では、これらの攻撃から保護するために適切に構成する必要がある3つの領域について説明します。
ブルート フォース パスワード攻撃
この種の攻撃では、攻撃者は、対象となるアカウントのセットに対して複数のパスワードを試行します。 多くの場合、組織内でより高いレベルのアクセス権を持つユーザーのアカウントがターゲットになります。 これは、組織内の経営幹部や、重要なインフラストラクチャを管理する管理者である場合があります。
この種の攻撃によって、DOS パターンが生じる可能性もあります。 これはサービス レベルで発生することがあり、その場合はサーバー数が不十分なために AD FS は多数の要求を処理できません。 ユーザー レベルで発生することもあり、その場合はユーザーが自分のアカウントからロックアウトされます。
パスワード攻撃に対する AD FS のセキュリティ保護
ただし、AD FS とネットワークを正しく構成するためにいくつかの手順を実行することで、AD FS エンドポイントをこれらの種類の攻撃に対してセキュリティで保護することができます。 この記事では、これらの攻撃から保護するために適切に構成する必要がある3つの領域について説明します。
- レベル 1、ベースライン: これらは、悪意のある攻撃者がフェデレーション ユーザーに対してブルート フォース攻撃を行えないようにするための基本的な設定であり、AD FS サーバーで構成する必要があります。
- レベル2、エクストラネットの保護: セキュリティで保護されたプロトコル、認証ポリシー、および適切なアプリケーションを使用するようにエクストラネットアクセスが構成されていることを保証するために、これらの設定を構成する必要があります。
- レベル 3、エクストラネット アクセスをパスワードレスに移行: これは、攻撃を受けやすいパスワードではなく、より安全な資格情報でフェデレーション リソースにアクセスできるようにするための高度な設定とガイドラインです。
レベル 1: ベースライン
AD FS 2016 の場合、エクストラネットのスマート ロックアウトを実装すると、エクストラネットのスマート ロックアウトがよく使用される場所を追跡し、有効なユーザーがその場所から以前に正常にログインしたことがあれば、そのユーザーのアクセスを許可します。 エクストラネットのスマート ロックアウトを使用すると、悪意のある攻撃者によるユーザーへのブルート フォース攻撃を不可能にして、同時に正当なユーザーの生産性を高めることができます。
AD FS 2016 を使用していない場合は、AD FS 2016 にアップグレードすることを強くお勧めします。 これは、AD FS 2012 R2 からの単純なアップグレード パスです。 AD FS 2012 R2 を使用している場合は、 エクストラネットロックアウトを実装します。 この方法の欠点の1つは、ブルートフォースパターンを使用している場合に、有効なユーザーがエクストラネットアクセスをブロックする可能性があることです。 Server 2016 の AD FS には、この欠点はありません。
疑わしい IP アドレスを監視しブロックする
Microsoft Entra ID P1 または P2 がある場合は、AD FS 用 Connect Health を実装し、表示される [危険な IP レポート] 通知を使用します。
a. ライセンスはすべてのユーザーを対象としているわけではなく、AD FS/WAP サーバーごとに 25 ライセンスが必要です。これは、お客様にとって簡単です。
b. 多数の失敗したログインを生成している IP を調査できるようになりました。
c. この操作を行うには、AD FS サーバーで監査を有効にする必要があります。
疑わしい IP をブロックします。 これにより、DOS 攻撃をブロックする可能性があります。
a. 2016の場合は、 エクストラネットの禁止 IP アドレス 機能を使用して、#3 によってフラグが設定された IP (または手動分析) からの要求をブロックします。
b. AD FS 2012 R2 以下を使用している場合は、Exchange Online で IP アドレスを直接ブロックし、必要に応じてファイアウォールでブロックします。
Microsoft Entra ID P1 または P2 がある場合は、Microsoft Entra パスワード保護を使用して、推測可能なパスワードが Microsoft Entra ID で受け入れられないようにします。
a. 推測可能なパスワードを使用している場合、パスワードはわずか 1 回から 3 回の試行で解読できます。 この機能により、これらの設定が行われなくなります。
b. プレビューの統計からは、新しいパスワードの約20-50% が設定されるのをブロックします。 これは、ユーザーの% がパスワードを推測しやすいという脆弱性を持つことを意味します。
レベル 2: エクストラネットを保護する
エクストラネットからアクセスするすべてのクライアントの最新の認証に移行します。 主にこれに該当するのは、メール クライアントです。
a. モバイル デバイスには Outlook Mobile を使用する必要があります。 新しい iOS ネイティブメールアプリでは、先進認証もサポートされています。
b. Outlook 2013 (最新の CU パッチを適用) または Outlook 2016 を使用する必要があります。
すべてのエクストラネットアクセスに対して MFA を有効にします。 これにより、すべてのエクストラネットアクセスの保護が追加されます。
a. Microsoft Entra ID P1 または P2 がある場合は、Microsoft Entra 条件付きアクセス ポリシーを使用してこれを制御します。 これは、AD FS で規則を実装するよりも優れています。 これは、最新のクライアントアプリがより頻繁に適用されるためです。 これは、Microsoft Entra ID で、更新トークンを使用して新しいアクセストークン (通常は 1 時間ごと) を要求したときに発生します。
b. Microsoft Entra ID P1 または P2 がないか、インターネット ベースのアクセスを許可する追加のアプリが AD FS にない場合は、Microsoft Entra 多要素認証を実装し、すべてのエクストラネット アクセスに対してグローバル多要素認証ポリシーを構成します。
レベル 3: エクストラネット アクセスをパスワードレスに移行
Window 10に移動し、 Hello For businessを使用します。
その他のデバイスで AD FS 2016 を使用している場合、第 1 要素として Microsoft Entra 多要素認証 OTP を使用し、第 2 要素としてパスワードを使用できます。
モバイルデバイスの場合、MDM で管理されているデバイスのみを許可する場合は、 証明書 を使用してユーザーを記録できます。
緊急処理
AD FS 環境がアクティブな攻撃を受けている場合は、次の手順を最も早い段階で実装する必要があります:
- AD FS でユーザー名とパスワード エンドポイントを無効にし、すべてのユーザーに対して、VPN を使用してアクセスを取得するか、ネットワーク内にいることを要求します。 そのためには、ステップ レベル 2 #1aを 完了している必要があります。 そうしないと、内部のすべての Outlook 要求は、引き続き EXO proxy auth を介してクラウド経由でルーティングされます。
- 攻撃が EXO を通じてのみ行われる場合は、認証ポリシーを使用して Exchange プロトコル (POP、IMAP、SMTP、EWS など) の基本認証を無効にできます。これらのプロトコルと認証方法は、これらの攻撃の大部分で使用されています。 さらに、EXO のクライアント アクセス規則とメールボックスごとのプロトコルの有効化は、認証後に評価され、攻撃の軽減には役立たされません。
- レベル 3 の 1 から 3 を実行して、エクストラネット アクセスを選択的に提供します。