CyberArkは、CyberArk Red Teamが検証したサイバー攻撃者による多要素認証の回避に関する最新攻撃手法について10月8日に発表した。


　CyberArk Red Teamは、企業の不正アクセス被害の問い合わせを基に、サイバー攻撃者の視点と技術を用いたシミュレーションを活用して最新の攻撃手法の解析を行い、企業のセキュリティ対策の実行性を検証している。今回、CyberArk Red Teamでは多要素認証を回避したサイバー攻撃に関してサイバー攻撃者が用いる最新の攻撃手法をまとめた。

　多要素認証は、ユーザーがネットワークやアプリケーションにログインする際に「知識情報」「保持情報」「生体情報」の二つ以上を組み合わせたログイン方法で、サイバー攻撃者による不正アクセスを前提としたゼロトラストの概念に基づいている。昨今、デジタルトランスフォーメーション、リモートワークの普及、クラウドサービス／インフラストラクチャー活用の高まりなどを背景に、多要素認証を導入して不正アクセスを阻止する企業が増えている。一方、サイバー攻撃が高度化する中、多要素認証を標的とした攻撃手法による不正アクセスが発生し、多要素認証のリスクが浮き彫りになっている。

　CyberArk Red Teamは企業からの問い合わせを基にシミュレーションを行い、CyberArk Labsとの共同研究を通じ、サイバー攻撃者が多要素認証を回避するために用いた4種類の攻撃ベクトルとして、「アーキテクチャーと設計の不備」「トークンの悪用」「Cookieの悪用」「セカンダリチャネルへの攻撃」を特定した。

　多くの企業は、サイバー攻撃者による認証情報の窃取リスクを軽減することを目的に多要素認証によるシングルサインオン（SSO）を導入している。CyberArk Red Teamが行ったシミュレーションによると、大規模なグローバル企業はサードパーティー製の多要素認証プロバイダーを使用し、VPNアクセスのセキュリティを保護していた。VPNへの接続が完了すると、リモートユーザーはSSOを使用し、クラウドサービスにアクセスする。しかし、VPNの範囲内で信頼できるIPからユーザーがログインした場合、クラウドサービスへのアクセスを取得する際も、ドメインの認証情報を促されるだけだった。

　このことから、多要素認証に関するアーキテクチャーの基本的な不備が判明した。多要素認証は、インフラストラクチャー・ベースのアクセスにしか適用されず、組織内の重要な資産にアクセスする個人ユーザーのアイデンティティには適用されない。これにより、単一要素認証の状態となり、攻撃を受けるリスクが高まるという。シミュレーションでは、ユーザーのワークステーションに不正アクセスし、その端末にインストールされているソフトウェアトークンへのアクセスを取得することで、VPNにログインし、別のユーザーのパスワードを用いて容易にユーザーを切り替え、CEOの電子メールやクラウド端末を含む、さまざまな要素へのアクセスが可能となった。

　また、「トークンの悪用」の演習ではアクセストークンで保護された企業の機密産業ネットワークへの侵入を検証した。これによると、同ネットワークへの最初のアクセスを取得して、ユーザーのeメールを検証し、ユーザーが受信するメールに記載された多要素認証でのアイデンティティ照合用のURLに暗号化シードが含まれていることが分かったとのことだ。

　これらの暗号化シードにはeメールがあればアクセスが可能で、PINコードとタイムスタンプを用いて、多要素認証のトークンを作成し、ユーザーの代わりにワンタイムパスワードを生成できたという。全ての暗号化シードは4ケタのコードで保護されており、組織内のアクセストークンの暗号化シードにブルートフォース攻撃を行い、ユーザーのアクセストークンを複製することで、産業ネットワークへのアクセスを突破できることが明らかになった。

　「Cookieの悪用」の演習では、ユーザーのブラウザー上で認証後に設定されるクライアントサイドのセッションCookieを悪用または窃取した。ブラウザー上で、認証情報とアクセストークンを使用してEメールアカウントにログインした場合、セッションCookieが発行され、暗号化された状態でブラウザー内に保存される。これらのCookieは、eメールアカウントのサブドメインに対するリクエストが発生するたびに送信されるため、ブラウザーを開くたびに再ログインする必要はない。

　Windowsシステムの場合、Cookieはデータ保護API（DPAPI）と呼ばれる暗号化インターフェースを用いて暗号化されており、ローカル管理者権限をもたないユーザーでも1回のAPIコールを通じてデータのBLOBを暗号化または復号できる。ドメイン結合環境には、ドメイン全体のバックアップキーが存在しており、全体的なドメインにあるDPAPIで暗号化された任意のBLOBを復号できる。さらに、こうしたバックアップキーは一度作成されると、ローテーションは行われない。

　DPAPIはユーザーの環境内のアプリケーション用に設計されているため、一つのWindows APIを呼び出すことで、ユーザーの認証情報を用いてブラウザー上のCookieとパスワードを容易に復号することができる。また、ドメインキーへのアクセスを取得することで、ドメイン内の全てのユーザーと端末を対象に遠隔地から攻撃を拡大できた。

　複数のチャネルで組織内のリソースへのアクセスが可能な場合、組織はセカンダリチャネルに関してセキュリティ保護を怠ってしまう。「セカンダリチャネルへの攻撃」の事例では、リモート・デスクトップ・プロトコル（RDP）経由で特定の重要サーバーにアクセスするため、管理者用の多要素認証が設定されていた。

　特権ユーザーがRDPを使用してサーバーにログインすると、Windows OSは、別個のモジュールとしてインストールされている多要素認証プロバイダーを呼び出す。ユーザーは、携帯電話へのプッシュ通知を受信後、ログイン試行とリクエストの承認を経て、RDP経由でサーバーへのアクセスが認められる。そのため、サーバーの管理者のユーザー名とパスワードを攻撃者が窃取した場合でも、RDP経由でのサーバーへのアクセスを阻止することができる。

　しかし、RDPはサーバー上の唯一のインバウンド・インターフェースであり、それ以外のチャネルが攻撃被害を受けるリスクがある。アクティブ・ディレクトリ環境では、リモート管理ポートが初期設定で有効化される。サーバーメッセージブロックや遠隔手続き呼出しなどは、PsExec、Powershell、その他のダイレクトCOMオブジェクトなどのツールを用いてアクセスが可能。多くの多要素認証モジュールは、非インタラクティブな通信を対象としておらず、多要素認証の要素として機能しないとのことだ。攻撃者は、攻撃対象とするユーザー名とパスワードさえあれば、ログインとサーバーへのアクセスが可能になる。