Cross-Origin Authenticationに対するクレデンシャルスタッフィング攻撃の検出

目次


※この記事はOkta Customer Identity Cloud (powered by Auth0)でCross-Origin Authentication機能をご利用のお客様向けの内容となります
このブログはこちらの英語ブログ(2024年5月29日公開)の翻訳、井坂源樹によるレビューです。

概要

Oktaは、Customer Identity CloudのCross-Origin Authentication機能が、クレデンシャルスタッフィング攻撃を仕組む攻撃者の標的になりやすいと判断しました。Okta Secure Identity Commitmentの一環として、またお客様のセキュリティに対するコミットメントの一環として、Oktaでは不審なアクティビティを定期的に監視・確認し、積極的にお客様に通知を行っています。今回のケースでは、この機能を有効にしていることを確認したお客様に積極的に通知し、お客様向けの電子メールにて追加のガイダンス(ご案内)を提供しました。

背景としては、多くのお客様にとって、Cross-Origin Authentication機能をサポートするために使用されるエンドポイントが、クレデンシャルスタッフィングを介して攻撃されていることを確認しました。この種の攻撃では、攻撃者は、過去のデータ侵害や関連性のないエンティティ、あるいはフィッシングやマルウェアによる攻撃から入手した可能性のあるユーザー名とパスワードの大規模なリストを使用して、オンラインサービスへのサインインを試みます。

この記事では、お客様がご自身のテナントにたいしてクレデンシャルスタッフィング攻撃がないか確認する方法と、推奨するアクションをご説明します。

不審なアクティビティの期間

Oktaでは、4月15日から不審なアクティビティが開始されたことを確認しています。すべてのテナントで継続的に発生するとは限りませんが、お客様のテナントに対してこの日以降の不審なアクティビティの有無を確認することをお勧めします。

確認すべきログイベント:

  • fcoa - Cross-Origin Authenticationに失敗しました
  • scoa - Cross-Origin Authenticationに成功しました
  • pwd_leak - 漏洩パスワードでのログイン試行がありました

推奨するアクション

テナントのログに予期しない fcoa、scoa、pwd_leak イベントがないか確認します。詳細については、ログイベントタイプコードを参照してください。

テナントがCross-Origin Authenticationを使用していないにもかかわらず、イベントログに scoaまたは fcoa イベントが存在する場合は、テナントがクレデンシャルスタッフィング攻撃の標的にされている可能性があります。

テナントがCross-Origin Authenticationを使用しており、4月に scoa イベントが急増したか、失敗イベントと成功イベントの比率(fcoa/scoa)が増加した場合は、テナントがクレデンシャルスタッフィング攻撃の標的にされた可能性があります。

クレデンシャルスタッフィング攻撃でユーザーのパスワードが漏洩してしまった場合、用心のため、そのユーザーの認証情報(パスワード)を直ちに変更する必要があります。

クレデンシャルスタッフィング攻撃からテナントを守る

以下は、クレデンシャルスタッフィング攻撃からユーザーを保護する最善の方法に関する推奨事項です。

長期的なソリューション

ユーザーの認証をパスワードレス、もしくはフィッシング耐性のある認証方式に変更します。そのためにUniversal Loginに移行されることを推奨します。最も安全なオプションとして、パスキーの使用をお勧めします。パスキーは、無料プランからエンタープライズプランまで、すべてのCustomer Identity Cloudのライセンスプランに含まれています。

中期的な緩和策

ユーザーが脆弱なパスワードを設定しないようにします。最低12文字、ユーザー名の一部を使用しないようにします。共通パスワードリストにあるパスワードの設定を禁止します。これらはパスワードポリシーで行うことができます。

多要素認証(MFA)を利用する設定を行います。Customer Identity Cloudでは、B2C Professionalプラン、B2B Essentialプラン、B2B Professionalプラン、Startupプラン、Enterpriseプランでご利用いただける様々なMFAオプションをご用意しています。

短期的な緩和策

  •  Cross-Origin Authenticationを使用しないテナントについては、Auth0 Management Consoleでそのエンドポイントを無効にし、この攻撃ベクトルを排除することができます。詳細については、Configure cross-origin authenticationを参照してください。
  • Cross-Origin Authenticationが必要な場合は、許可されるオリジンを制限します。
  • 現在、ご利用中のプランでサポートされている場合は、テナントのBreached Password Detection)または、理想としてはCredential Guardを有効にしてください。
    • Breached password detectionは、B2C プロフェッショナル、B2B プロフェッショナル、スタートアップ、およびエンタープライズプランで利用できます。
    • Credential Guard は、エンタープライズプランのアドオンとしてご利用いただけます。

サポートをご利用いただけるアカウントをお持ちで、さらに詳しい情報が必要な場合には、カスタマーサポートまでお問い合わせください。無料プランをご利用の場合には、コミュニティを経由して、お問い合わせください。プランごとの機能および利用可能性につきましては、価格ページをご覧ください。

以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。