LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@narisho(成田 翔)inネクストリード株式会社

パスワード突破率が高い Entra ID への攻撃

Last updated at Posted at 2024-03-17

はじめに

ネクストリードではお客様の Microsoft 365 テナントの包括的なセキュリティ監視を支援しています。
その中で、ここ 2 カ月ほどで特徴的なパスワード漏えいが多数起きているので、注意喚起を兼ねて紹介したいと思います。

攻撃の特徴

Entra ID への攻撃試行は様々なアプリケーションに対して日常的に行われますが、ここ 2 カ月ほどで "Office 365 Client Admin" を使用した攻撃の成功率が特に高いことに気づきました。

私たちが監視を支援しているお客様だけでも 2024 年 1 月以降延べ 12 ユーザーのパスワードが突破されています。

また、上記アプリケーションであることに加えて、下記のような特徴があります。

  • Location はロシア (RU) であることが多い
  • ユーザーエージェントは Mozilla/5.0 (iPhone; CPU iPhone OS 16_4_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko)

昨年末にほぼ同じ条件でドイツ (DE) からの攻撃成功を確認していますが、今年に入ってからはすべてロシアでした。(ただ、場所は IP アドレスを変えればすぐ変わるので国はあまり意識しなくてもいいかもしれません。)

下記はパスワード突破された例ですが、ステータス (ResultType) が 50053、50126 と続いて、50097 となっていることが分かります。
最初の 2 つのステータスはパスワードの認証が通っていないことを示しており、最後のステータスはパスワードが通ったことを示しています。

image.png

他のユーザーでも似たような傾向を示しており、既に漏えいしているパスワードから他のパスワード推測 (例えばパスワード内の数字をずらすなど) が上手い攻撃者と思われます。

"Office 365 Client Admin" とは

Microsoft 標準のアプリケーション (アプリケーション ID: 3cf6df92-2745-4f6f-bbcf-19b59bcdb62a) で、特に意識していなくても Entra ID に最初から存在します。

image.png

Microsoft 365 Apps admin center (https://config.office.com/) で使用されるもので、このポータルは Microsoft 365 Apps (つまり Office クライアント) を大規模展開するための構成ファイルを作成したり、機能を制御するポリシーを作成したり、セキュリティ更新プログラムの状態を確認したりなどの管理目的で使用します。

当然、このポータルを利用するには管理者権限が必要になるので、一般ユーザーがサインインしたところで設定内容を見ることは出来ません。
なぜこのアプリケーションが使用されるのかは分かりませんが、普段ユーザーが (管理者も?) アクセスするアプリケーションではないのでセキュリティ監視する場合には都合がいいですね。

Microsoft Sentinel で検知する

Entra ID のサインイン ログを Microsoft Sentinel または Azure Log Analytics に連携するように設定している場合、SigninLogs というテーブルに格納されています。

下記のようにクエリを実行することで、"Office 365 Client Admin" に対してパスワード認証が成功したログを出力できます。

SigninLogs
| where TimeGenerated > ago(7d)
| where AppDisplayName == "Office 365 Client Admin"
| extend AuthenticationDetails = todynamic(AuthenticationDetails)
| mv-apply AuthenticationDetail = AuthenticationDetails to typeof(dynamic) on (
    where AuthenticationDetail.authenticationStepResultDetail == "Correct password"
    )
| project TimeGenerated,UserPrincipalName,ResultType,IPAddress,Location,AppDisplayName,ResourceDisplayName,UserAgent

クエリ実行でもしログが出てきたらパスワード漏えいしている可能性があるので注意してください。前述のような特徴 (国やユーザーエージェント) がある場合はさらに疑わしいです。

まとめ

本ブログでは 2024 年 3 月現在パスワード突破率が高い Entra ID への攻撃の特徴を紹介しました。
Microsoft Sentinel や Azure Log Analytics を使用して Entra ID のログをクエリ出来る場合には、クエリで状況を確認してみることをお勧めします。
上記のようなソリューションにログを転送していない場合でも、Entra 管理センター (https://entra.microsoft.com/) の ID>監視と正常性>サインイン ログ、からも過去 1 カ月のログを一定の条件でフィルターして確認できますので、ぜひ確認してみてください。

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?