Oktaで匿名化サービスをブロックする方法
目次
- Torネットワークとは?
- レジデンシャルプロキシとは?
- エッジでブロック
- アイデンティティプラットフォームに組み込まれた最新の防御策
- より広範な推奨事項
- 最近の攻撃で使用されたTTP
- 関連するシステムログのクエリ:Workforce Identity Cloud
- 関連するシステムログのクエリ:Customer Identity Cloud (Auth0 by Okta)
このブログはこちらの英語ブログ(2024年4月27日公開)の翻訳、池山 邦彦によるレビューです。
概要: Workforce Identity CloudとCustomer Identity Solutionをご利用のすべてのお客様は、認証前に匿名化サービスからのアクセス要求をブロックできるようになりました。
Oktaは先月、レジデンシャルプロキシサービス、過去に漏洩した認証情報リスト(「コンボリスト」)、スクリプトツールが広く利用できるようになったことで、オンラインサービスを標的としたクレデンシャルスタッフィング攻撃の頻度と規模が増加していることを観測しました。
- 2024年3月18日から4月16日にかけて、Duo SecurityとCisco Talosは、VPNデバイスの複数のモデルに対する大規模な総当たり攻撃を観測しました。
- 2024年4月19日から4月26日にかけて、OktaのIdentity Threat Researchチームは、類似のインフラストラクチャと思われるユーザーアカウントに対するクレデンシャルスタッフィング攻撃の急増を観測しました。
クレデンシャルスタッフィング攻撃では、攻撃者は、無関係なエンティティの過去のデータ漏洩、またはフィッシングやマルウェアキャンペーンから入手したユーザー名とパスワードの大規模なリストを使用して、オンラインサービスへのサインインを試みます。
当社が観測した最近の攻撃には、TORなどの匿名化サービスを通じてルーティングされるリクエストを利用するという共通点があります。また、何百万件ものリクエストが、さまざまな家庭用プロキシを経由しています。
Torネットワークとは?
Tor (The Onion Router) は、リクエストの発信元IPアドレスを隠蔽してWebサイトにリクエストを送信する方法をユーザーに提供しています。Torは「オニオンルーター」のオーバーレイネットワークを介したメッセージの中継に依存しており、各ルーターは通信の1つ前のノードと次のノードのIPしか観測することができません。Torには正当な用途がある一方で、攻撃者の本当のIPアドレスを隠すために日常的に使用されています。
レジデンシャルプロキシとは?
レジデンシャル(住宅用)プロキシは、有料加入者に代わってトラフィックをルーティングする正当なユーザーデバイスのネットワークです。レジデンシャルプロキシプロバイダーは、実際のユーザーのコンピューター、スマートフォン、またはルーターを経由してアクセスを効果的にレンタルし、認証リクエストをルーティングします。そして、これらのデバイスのIPを介してトラフィックをプロキシし、トラフィックのソースを匿名化します。
レジデンシャルプロキシプロバイダーは、このような実際のユーザーデバイスのネットワークをどのように構築しているかを公表しない傾向があります。ユーザーのデバイスがプロキシネットワークに登録されていることもありますが、その場合は、支払いやその他の価値のあるものと引き換えに、ユーザーが意識的に「プロキシウェア」を自分のデバイスにダウンロードすることを選択しているからです。また、ユーザーが知らないうちにユーザーデバイスがマルウェアに感染し、一般的にボットネットと呼ばれるものに登録される場合もあります。さらに最近では、プロキシネットワークで使用されている多数のモバイルデバイスで、侵害されたSDK(ソフトウェア開発キット)で開発されたモバイルアプリがダウンロードされていることが確認されています。事実上、これらのアプリの開発者は、レジデンシャルプロキシネットワークでアプリを実行しているユーザーのデバイスを登録するSDKの使用に同意している、あるいはだまされて使用しています。
このようなアクティビティの実態は、これらのクレデンシャルスタッフィング攻撃のトラフィックの大部分が、VPSプロバイダーのIP空間からではなく、日常的に使用するユーザーのモバイルデバイスやブラウザから発信されているように見えることです。レジデンシャルプロキシサービスの詳細内容については、CERT Orange CyberdefenseおよびSekoiaによるこの有益な要約をお読みいただくことをお勧めします。
エッジでブロック
Okta Secure Identity Commitmentの主要な考え方の1つは、お客様のセキュリティのベストプラクティスを推進することです。Oktaは、当社のプラットフォームにおけるデフォルトのセキュリティ機能の水準を高めることに全力を注いでいます。
2024年2月、OktaはWorkforce Identity Cloud(WIC)とCustomer Identity Solution(CIS)に、匿名化サービスからのリクエストを検出してブロックする機能をタイミングよくリリースしました。
この早期アクセス機能は、Okta Admin Consoleの「設定」>「機能」でオンにすることができます。
特定の匿名化サービスからのアクセスを拒否し、その他の匿名化サービスからのアクセスを許可する場合には、Dynamic Zones(Adaptive MFAの一部)を使用するライセンスが必要です。今後数週間にわたり、この機能が強化される予定です。
Customer Identity Cloud(Auth0)をご利用中のお客様は、Attack Protection Suiteを検討し、下表のその他の推奨事項をご検討いただく必要があります。
アイデンティティプラットフォームに組み込まれた最新の防御策
これらの攻撃が前例のない規模で発生しているため、クレデンシャルスタッフィングに対して最も効果的な制御に関する明確な洞察を得ることができました。
大量の攻撃に対するOktaの組み込みコントロールである ThreatInsight は、認証の前に、大規模なクレデンシャルベースの攻撃に関与するIPからのリクエストをブロックします。
このような不審なリクエストが認証まで進んだ顧客はごく一部で、同様の設定を共有していました。 Orgはほぼ常にOkta Classic Engineで実行され、ThreatInsightは監査専用モード(Log and Enforceモードではない)に設定され、認証ポリシーは匿名化プロキシからのリクエストを許可していました。
Okta Identity Engineを使用しているお客様は、(a) ThreatInsightをログおよび強制モードで有効にし、(b) 匿名化プロキシからのアクセスリクエストを拒否することで、このような日和見的なアカウントから保護されました。これらの基本機能は、すべてのOkta SKUで利用可能です。Okta Identity Engineへのアップグレードは無料で、多くの場合高度に自動化されており、リスクの高いサインインのためのCAPTCHAチャレンジや、Okta FastPassを使用したパスワードレス認証など、さまざまな機能にアクセスできます。
より広範な推奨事項
Oktaのお客様は、クレデンシャルスタッフィング攻撃によるアカウント乗っ取りのリスクを軽減するため、多層防御を実践することをお勧めします。
|
推奨事項 |
Workforce Identity Cloud (Okta) |
Customer Identity Cloud (Auth0) |
|
|
1. |
パスワードレスの採用 |
Okta FastPassおよびFIDO2 WebAuthnが必須 |
推奨サイン方法としてパスキーをサポート |
|
2. |
ユーザーの不適切なパスワード選択を防ぐ |
パスワードポリシーにおいて12文字必須、ユーザー名の一部の使用不可
共通パスワードリストにあるパスワードをブロック |
漏洩パスワード検知もしくはクレデンシャルガード有効にして第3者サイトで漏洩したパスワードの利用を防ぐ |
|
3. |
サインイン時にMFAを強制 |
グローバルセッションポリシーでMFAを必須化 |
パスワード認証フローにMFAを必須化 |
|
4. |
組織が運用していない場所からのリクエストを拒否 |
認証前に要求をブロックするためにネットワークゾーンを利用 |
WAFによる地理情報またはAuth0 Actionsによる国別アクセス制御を使用してアクセスを拒否 |
|
5. |
評判の悪いIP からの認証リクエストを拒否 |
匿名化サービス(早期アクセス)または動的ネットワークゾーン経由のリクエストを拒否 ログでThreatInsightを構成しIPからの失敗したリクエストの量と速度に基づいて試行を拒否するモードを適用 リスクの高いログインにはCAPTCHAを必須にする |
疑わしいIPアドレスからのログイン試行を抑えるIPスロットリング 不審なIPからのリクエストに対するCAPTCHAチャレンジを提示するためボット検知を使用 IPが匿名化プロキシに関連付けられているかどうかを確認するためのサードパーティAuth0 Actionsインテグレーションを使用 |
|
6. |
異常なサインイン動作を監視して対応する |
アカウントのロックアウトをユーザーごとに強制 正常に認証されたデバイスからのリクエストを除外 ThreatInsightイベントとレートリミット違反を監視 |
総当たり攻撃からの保護を使用して認証リクエストの失敗が続くアカウントのブロックとロックアウト 無効なユーザー名/存在しないユーザーや以前に侵害されたパスワードを使用したサインインイベントを監視 |
最近の攻撃で使用されたTTP
自律システム番号(ASN)トップ20
|
自律システム番号 |
ネットワークプロバイダー |
|
53667 |
FranTech Solutions |
|
62744 |
Quintex Alliance Consulting |
|
60729 |
Stiftung Erneuerbare Freiheit |
|
1101 |
SURF B.V. |
|
210558 |
1337 Services GmbH |
|
197540 |
netcup GmbH |
|
16276 |
OVH SAS |
|
60404 |
Liteserver |
|
210644 |
AEZA INTERNATIONAL LTD |
|
399532 |
Universal Layer LLC |
|
200651 |
FlokiNET ehf |
|
44925 |
1984 ehf |
|
51396 |
Pfcloud UG |
|
4224 |
The Calyx Institute |
|
51852 |
Private Layer INC |
|
56655 |
TerraHost AS |
|
36352 |
HostPapa |
|
208323 |
Foundation for Applied Privacy |
|
63949 |
Akamai Connected Cloud |
|
41281 |
KeFF Networks Ltd |
ユーザーエージェント(デバイス・OS・ブラウザ)
Mozilla/5.0 (Windows NT 10.0; rv:102.0)Gecko/20100101 Firefox/102.0
関連するシステムログのクエリ:Workforce Identity Cloud
|
イベント |
システムログのクエリ |
|
ThreatInsightは、不審な行動に関連付けられたIPからのアクセスリクエストを検出 |
eventType eq "security.threat.detected" |
|
総当たり攻撃の疑い(T1110.001) |
eventType eq "security.threat.detected"および outcome.reason eq "Login failures" |
|
クレデンシャルスタッフィング攻撃の疑い(T1110.004) |
eventType eq "security.threat.detected"および outcome.reason co "Login failures with high unknown users count" |
|
パスワードスプレー攻撃の疑い(T1110.003) |
eventType eq "security.threat.detected"および outcome.reason co "Password Spray" |
|
特定の組織に対する標的型総当たり攻撃 |
eventType eq "security.attack.start" |
関連するシステムログのクエリ:Customer Identity Cloud (Auth0 by Okta)
|
イベント |
ログクエリ |
|
ログインリクエストの失敗 |
f |
|
ログイン失敗:無効なユーザー名/メールアドレス |
fu |
|
ログイン失敗:無効なパスワード |
fp |
|
既知の漏洩パスワードからのログイン試行 |
pwd_leak |
|
漏洩パスワードからのサインアップ(登録)試行 |
signup_pwd_leak |
|
ブロックされたIPアドレス:ログインに過度に失敗した、またはログインが成功しなかった登録リクエスト |
limit_mu |
|
ユーザーアカウントのロックアウト:同じIPアドレスからの一定期間ごとの過剰なログインリクエストの失敗 |
limit_sul |
|
ブロックされたIPアドレス:1つのユーザーアカウントへのログイン試行が過度に失敗 |
limit_wc |
以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。
Follow Brett Winterford
