SaaSアプリケーションのSSO(Single Sign On)に使用されるアイデンティティプロバイダー(IdP)のセキュリティが、ますます複雑かつ高度な脅威にさらされています。2024年2月29日、サイバーセキュリティ企業であるSemperisのリサーチャーが新たな攻撃手法である「Silver SAML攻撃」を発見しました。この攻撃は、Golden SAML攻撃のバリエーションとして位置づけられ、IdPの設定の弱点を悪用することにより、不正アクセスやデータ漏洩のリスクを高めます。
Silver SAML攻撃とは?Golden SAML攻撃との違い
Silver SAML攻撃は、Entra IDなどのアイデンティティプロバイダーから、Salesforceのように認証にSAMLを使用するアプリケーションに対する攻撃を可能にします。
そもそもゴールデンSAML攻撃が何なのかと言うと、攻撃者がActive Directory フェデレーション サービス(AD FS)サーバーの管理権限を獲得しようとするサイバー攻撃の一種です。ADFSへのアクセス権限を手に入れることで、攻撃者はAD FSサーバーを利用して、SAMLトークンの発行に必要な秘密鍵や証明書を盗み出すことができます。
攻撃者がAD FSサーバーから秘密鍵を盗み出すと、その秘密鍵を使用して任意のユーザーを偽装するSAMLアサーションを生成できるようになります。これにより、攻撃者は信頼されたユーザーとして任意のサービスプロバイダーにアクセスできるようになり、組織内の様々なリソースやデータに不正アクセスすることが可能になります。
一方Silver SAML攻撃はGolden SAML攻撃のバリエーションで、Active Directory フェデレーション サービス(AD FS)へのアクセスを必要としません。Semperisのリサーチャーは、この脅威を中程度の重大性と評価しています。
サイバーセキュリティ企業Semperisのリサーチャーによると、「Entra ID内で、MicrosoftはSAMLレスポンスの署名に自己署名証明書を提供していますが、組織は、Oktaのような外部で生成された証明書を使用することを選択することもできます。しかし、その選択肢はセキュリティリスクを導入します。」としています。これは外部生成された証明書のほうが盗難のリスクが高いということを言っているのでしょう。
「外部で生成された証明書の秘密鍵を手に入れた攻撃者は、好きなSAMLレスポンスを偽造し、Entra IDが保持する同じ秘密鍵でそのレスポンスに署名することができます。このタイプの偽造SAMLレスポンスを使用して、攻撃者は任意のユーザーとしてアプリケーションにアクセスできます。」
Silver SAML攻撃から組織を守るために出来ること
Silver SAML攻撃の悪用を防ぐために、IT担当者はいくつかのセキュリティ対策を採用してこのような脅威に対する防御を強化すべきでしょう。以下Silver SAML攻撃に有効な対策の一部です。
SAML署名用に自己署名証明書を使用する: Entra ID自己署名証明書をSAML署名目的で優先的に使用します。これにより、外部で生成された証明書が危険にさらされるリスクを最小限に抑えます。なおEntra ID上でEnterprise applicationを作成するとデフォルトで自己署名証明書が使用されます。
秘密鍵を保護する: SAMLレスポンスの署名に使用される秘密鍵が安全に保管され、そのアクセスが厳しく制御されていることを確認します。間違っても秘密鍵をセキュアではない方法でシェアすることは控えましょう。
証明書のローテーションと管理: 証明書のローテーションと管理のためのプロセスを確立しましょう。Entra IDのデフォルト自己署名証明書を使用している場合、証明書の更新は2年に一度です。
なお、Semperisのリサーチャーがマイクロソフトへ情報を開示した後、同社はこの問題が即時対応を要する基準を満たしていないと述べましたが、顧客を保護するために必要に応じて適切な行動を取ると述べました。
