ADFSは、Active Directory Federation Servicesの略称で、シングルサインオンを実現できるActive Directoryの機能です。
クラウドなど社外の各種サービスに対する認証を、社内のActive Directory(AD)認証基盤に一元化できます。
便利な機構は一般のユーザだけでなく、脅威アクターにとっても便利で魅力的なものになってしまっています。
ADFSの安全機構を回避して悪用する脅威キャンペーンが観測されています。
- メールが送られてくる
脅威アクターは組織のIT部門のメンバーに成り済まして、組織の誰かにメールを送ります。 - メール受信者がメールに従う
送られてきたメールには、システムにログインしてセキュリティ設定を更新したり、新しいポリシーに同意するようにしてほしいと記載されています。
メールには、その操作を行うためのボタンもついています。
HTMLメールなので、ボタンがメールの本文の中に実現できているという状態になっています。 - ログイン画面を操作する
メール閲覧者がボタンをクリックします。
そうすると、通常その組織で利用しているADFSのログイン画面とそっくりのログイン画面が表示されます。
ですが、これは通常のADFSの画面ではなく、フィッシングサイトです。
メールのボタンをクリックした人は、すでに疑っていません。
表示されたログイン画面に見える画面で、指示に従って情報を入力します。
利用者は、ユーザー名、パスワード、MFA コードの入力を求めたり、プッシュ通知を承認するように誘導されていきます。
一通り情報を盗み終わると、画面は正規のログイン画面へとリダイレクトされます。 - 脅威アクターはログインする
脅威アクターはこの時点でログインに必要な情報を入手済みです。
二要素認証などは有効な時間が短いなどの事情もありますので、脅威アクターはすぐに入手した情報を使ってログインを完了させます。
ユーザはログインの情報を入力したけど、まだログインできていない状態となり、ユーザから情報をだまし取った脅威アクターはすぐにログインできた状態になった、という流れです。
システムにログインした脅威アクターは、その組織の人間として活動できる状態になりました。
この環境をさらに悪用し、組織内で横展開を開始します。
いわゆるラテラルフィッシングの始まりです。
システムの強化と同じように、組織を構成する人の部分の強化も重要、ということなのでしょうね。
Targeting Microsoft ADFS: How Phishing Campaigns Bypass Multi-Factor Authentication to Enable Account Takeover
https://abnormalsecurity.com/resources/targeting-microsoft-adfs-phishing-bypass-mfa-for-account-takeover
| この記事をシェア |
|
|---|
一緒によく読まれている記事
-
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)
サイバー領域
- APIキーや認証情報といった機密情報を
管理・保管するためのベストプラクティス
[クイックリファレンス(PDF形式)付き] - 本記事は、GitHubから流出した機密情報をリアルタイム検知するサービスを提供するGitGuardian社のホームページで公開されたレポートを日本語に翻訳したものです。 (原題)...
- APIキーや認証情報といった機密情報を
-
サイバー領域
- “シークレット”が危ない!?―GitHub Copilotがもたらす新たなセキュリティリスク
- セキュリティ研究者は、Copilot、CodeWhispererからハードコードされた有効なシークレットを取り出すことに成功。シークレットの拡散に関連した新しい形のセキュリティリ...