クラウドトークン窃取
クラウドトークン窃取 とは何ですか?
クラウドトークン窃取クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。
クラウドトークン窃取は、現代のクラウド ID サービスが発行する短命のベアラートークン、リフレッシュトークン、署名鍵を狙います。攻撃者は侵害された端末、ブラウザ Cookie、メールボックス同期ログ、CI/CD の変数、または OAuth 同意の悪用を通じて取得します。2023 年の Microsoft Storm-0558 事件では、盗まれた MSA コンシューマー署名鍵が Exchange Online のアクセストークン偽造に使われ、政府機関のメールボックスへ侵入された事例で、署名鍵漏えいの破壊力が示されました。防御策には HSM による鍵保護、デバイス状態に基づく条件付きアクセス、トークンバインディング、継続的アクセス評価、トークン発行の異常検知、署名素材の積極的なローテーションが含まれます。
● 例
- 01
Storm-0558 が盗んだ MSA コンシューマー署名鍵で Azure AD アクセストークンを偽造(2023)。
- 02
Pass-the-cookie:Microsoft 365 のセッション Cookie を盗み MFA を回避する。
● よくある質問
クラウドトークン窃取 とは何ですか?
クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。
クラウドトークン窃取 とはどういう意味ですか?
クラウド ID サービスから OAuth、SAML、署名鍵といったトークンを盗み出し、再生して認証情報なしでユーザーやサービスになりすます攻撃。
クラウドトークン窃取 はどのように機能しますか?
クラウドトークン窃取は、現代のクラウド ID サービスが発行する短命のベアラートークン、リフレッシュトークン、署名鍵を狙います。攻撃者は侵害された端末、ブラウザ Cookie、メールボックス同期ログ、CI/CD の変数、または OAuth 同意の悪用を通じて取得します。2023 年の Microsoft Storm-0558 事件では、盗まれた MSA コンシューマー署名鍵が Exchange Online のアクセストークン偽造に使われ、政府機関のメールボックスへ侵入された事例で、署名鍵漏えいの破壊力が示されました。防御策には HSM による鍵保護、デバイス状態に基づく条件付きアクセス、トークンバインディング、継続的アクセス評価、トークン発行の異常検知、署名素材の積極的なローテーションが含まれます。
クラウドトークン窃取 からどのように防御しますか?
クラウドトークン窃取 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
クラウドトークン窃取 の別名は何ですか?
一般的な別名: トークンリプレイ, OAuth トークン窃取。
● 関連用語
- cloud-security№ 186
クラウドキー漏えい
長期有効のクラウドアクセスキーが公開リポジトリ、コンテナイメージ、ログ、クライアントコードに誤って露出し、しばしば数分以内に悪用される事象。
- cloud-security№ 079
AWS IMDSv1 攻撃
通常は SSRF を介して、レガシーの IMDSv1 エンドポイントに未認証の GET リクエストを送ることで EC2 インスタンスロールの資格情報を盗む攻撃。
- cloud-security№ 505
IAM 権限昇格
既存のクラウド IAM 権限を悪用し、ポリシーの編集、ロールの引き受け、または自身への管理者権限付与によってより高い権限を獲得する手法。
- cloud-security№ 187
クラウドメタデータ SSRF
脆弱なアプリを介してクラウド事業者のインスタンスメタデータサービスを問い合わせさせ、一時的な資格情報を盗むサーバーサイドリクエストフォージェリ攻撃。
- attacks№ 1016
セッションハイジャック
セッション識別子を盗用または偽造して被害者の認証済みセッションを乗っ取り、攻撃者が認証情報なしで本人として振る舞う攻撃。
● 関連項目
- № 598Kubernetes クラスター攻撃
- № 183クラウドデータ流出