Googleでログイン」ボタンは、今やインターネット上のいたるところで見かけるようになった。ほとんどの人にとって、このボタンは作成した膨大なアカウントを管理するための「簡単なボタン」になっている。このボタンの背後にはOAuthグラントがあり、これはGoogleアカウントに保存された情報へのアクセスを任意のサードパーティツールに提供するためのトークン化された仕組みである。
これは、私たちのデジタルライフをより簡単にしてくれる一方で、セキュリティチームにとっては、大規模な監視とアンタングルを行うための大きな頭痛の種でもある。まず、そのサードパーティ・サービスが信頼に足るものであるかどうかをどうやって判断するのだろうか?答えるのは簡単な質問ではない。
従業員がこれらの画面をクリックする際に、適切な選択をしていることをどうやって確認するのか?まったく簡単ではない!
ⅳ 危険なアクティビティや過度に許可されたスコープをキャッチするために、新規および既存の OAuth グランツをプログラムでレビューするルーチンを確立することは良い習慣です。
OAuth グラントを調査する際に評価すべき 5 つの主要な OAuth リスクの洞察と、必要な情報が得られる場所を紹介します。
無料の OAuth 調査チェックリストはこちらからダウンロードできます。→
1.OAuth スコープとパーミッション
OAuth グラントのスコープは、グラントが組織にもたらす潜在的なリスクについて明確な指標を提供します。特定のスコープは、脅威行為者に環境への重要なアクセスを提供する可能性があるため、許可スコープを持つグラントを調査・監視することが特に重要になります。
例えば、ロシアの脅威行為者である Midnight Blizzard は、Microsoft OAuth グラントを悪用して、Microsoft 社員の Office 365 Exchange Online メールボックスにフルアクセスしました。
特定のアプリに関連するスコープを見つけるには、各アプリの OAuth 同意画面にアクセスして要求されたスコープを確認するか、API アクセスログでスコープの使用状況を確認します。
懸念されるスコープや悪用可能なアクセスがあるかどうかを理解するための出発点として、Google が機密または制限とみなすスコープのリストと照らし合わせることができます。管理パネルでこれらのスコープを持つグラントへのアクセスを制限することはできますが、Googleはこれらのリスト以外でどのアプリがこのカテゴリに分類されるかを簡単に特定できないことに注意してください。
また、SaaSセキュリティのための新しいソリューションが登場しており、すべてのアプリとOAuthグラントを継続的に検出し、潜在的なリスクを表面化させることで、このプロセスを容易にすることができる。
2.アプリ登録の詳細
クライアントID、リプライURL、パブリッシャー名、パブリッシャーのメールアドレスなどの登録の詳細は、アプリが潜在的に悪意のあるものであったり、単に設定が不十分であったりする兆候を捉えるのに役立ちます。例えば、個人の電子メールアドレスやGoogleグループで公開されたアプリは、それ以外は合法的に見えるアプリであっても、組織にセキュリティリスクをもたらす可能性があります。
また、登録の詳細から、アプリの作成者が悪意のあるアプリを信頼できるアプリとしてカモフラージュしようとしていることを示す指標を発見することもできます。例えば、「leet speak」を使用して、一見すると見慣れた正規のアプリのように見えるURLを作成するなどです。
アプリの登録情報を完全に評価するには、複数の情報源を探す必要があります。例えば、返信URLのWHOISルックアップを実行し、パブリッシャーのEメールドメインを会社の公式ドメインと相互参照し、Have I Been Pwnedのようなソースを使用して、Eメールアドレスが侵害されている可能性があるかどうかを判断することができます。
ドメインの年齢、レピュテーション、脅威インジケータを考慮し、以前悪用された証拠や最近作成されたドメインであることを明らかにすることができます。
3.ベンダーの信頼シグナル
特定の評判指標は、アプリのプロバイダが合法的かどうかを判断するのに役立ちます。例えば、GoogleやMicrosoftは、アプリのパブリッシャの身元を確認する方法を持っています。これは信頼指標として役立ちますが、脅威行為者が過去の攻撃で検証済みのステータスを利用していることを考えると、他の要因も考慮することが重要です。
また、アプリ提供者のセキュリティ・プログラムを評価し、追加的な背景を確認する必要があります。
この情報を自分で見つけるには、アプリがGoogle Workspace MarketplaceやMicrosoft Azure Marketplaceのような公式マーケットプレイスに掲載されているかどうかを確認することから始めます。これらのリストには、アプリがアプリの発行元で検証されているかどうかも記載されています。次に、ベンダーのセキュリティ・ページ、セキュリティ認証、セキュリティ・プログラム、違反履歴を調べます。
これらの情報は、ベンダーのセキュリティプロファイルのNudge Securityのデータベースで閲覧することができます。
4.アプリの人気
人気は、もう一つの潜在的な信頼指標を提供することができる。アプリに何百万人ものユーザがいる場合、あるいは社内に既存の足場がある場合、アプリに対する信頼性を高めるのに役立つ可能性があります。
アプリの人気を評価するには、レビューサイトをチェックし、組織外での採用情報を確認することができます。また、Google Admin ConsoleやMicrosoft Azure ADなどのクラウドサービスのダッシュボードをチェックすることで、自組織の利用データを確認することもできる。
Nudge Securityでリスクの高いOAuthグラントを検出、調査、取り消す。
Nudge Security は、組織内の誰によって導入されたすべての SaaS アカウントと、それらを接続する OAuth グラントを検出して分類することで、大規模なOAuth リスクの管理を支援します。
発見された各グラントに対して、ナッジセキュリティはOAuthリスクスコアを割り当て、上記のリスク要因に関する洞察を提供します。また、OAuthグラントはNudge Securityから直接取り消すことができ、迅速にリスクを軽減することができます。
無料トライアルを開始し、詳細を学び、あなた自身の組織のOAuthリスクを確認してください。
Nudge Securityによって後援され、書かれました。
Comments