クラウドトークン窃取
クラウドトークン窃取 とは何ですか?
クラウドトークン窃取クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。
クラウドトークン窃取は、現代のクラウド ID サービスが発行する短命のベアラートークン、リフレッシュトークン、署名鍵を狙います。攻撃者は侵害された端末、ブラウザ Cookie、メールボックス同期ログ、CI/CD の変数、または OAuth 同意の悪用を通じて取得します。2023 年の Microsoft Storm-0558 事件では、盗まれた MSA コンシューマー署名鍵が Exchange Online のアクセストークン偽造に使われ、政府機関のメールボックスへ侵入された事例で、署名鍵漏えいの破壊力が示されました。防御策には HSM による鍵保護、デバイス状態に基づく条件付きアクセス、トークンバインディング、継続的アクセス評価、トークン発行の異常検知、署名素材の積極的なローテーションが含まれます。
● 例
- 01
Storm-0558 が盗んだ MSA コンシューマー署名鍵で Azure AD アクセストークンを偽造(2023)。
- 02
Pass-the-cookie:Microsoft 365 のセッション Cookie を盗み MFA を回避する。
● よくある質問
クラウドトークン窃取 とは何ですか?
クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
クラウドトークン窃取 とはどういう意味ですか?
クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。
クラウドトークン窃取 からどのように防御しますか?
クラウドトークン窃取 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クラウドトークン窃取 の別名は何ですか?
一般的な別名: トークンリプレイ, OAuth トークン窃取。