CISA 勧告と Exchange Online:10月までに Basic 認証から Modern 認証へ切り替えよ

CISA warns orgs to switch to Exchange Online Modern Auth until October

2022/06/29 BleepingComputer — CISA は政府機関/民間企業に対して、クラウドメール・プラットフォームである Microsoft Exchange を、ベーシック認証からモダン認証 (MFA) へと早急に切り替えるよう促している。ベーシック認証 (プロキシ認証) は、アプリがサーバー/エンドポイント/オンラインサービスに認証情報を平文で送信する、HTTP ベースの認証スキームである。

その一方で、モダン認証 (Active Directory 認証ライブラリと OAuth 2.0 トークンベース認証) は、有効期限が制限された OAuth アクセストークンを使用し、発行したリソース以外での認証に再利用できない仕組みになっている。

ベーシック認証を使用するアプリに対しては、パスワード・スプレー攻撃による認証情報の推測や、TLS を介した中間者攻撃による認証情報の取得などが成立する。さらに悪いことに、ベーシック認証を使用する場合には、多要素認証 (MFA) の有効化が極めて複雑なため、全く使用されないことが多くなる。

ただちにモダン認証への切り替えを

Microsoft は、モダン認証に移行した後には、ベーシック認証をブロックすることを推奨している。それにより、脅威者によるパスワード・スプレー/クレデンシャル・スタッフィング攻撃を緩和できるという。

CISA のガイダンスによると、M365 Admin Center の Modern Auth Page で、すべての Exchange Online メールボックスの認証ポリシーを作成することで (詳細)、あるいは、AAD Admin Center の Azure Active Directory (AAD) で、条件付きアクセス・ポリシーを作成することで (詳細)、そのための処理は完了するという。

火曜日に CISA は、「ベーシック認証はレガシーな認証方法であり、大統領令 (Executive Order 14028) により連邦政府民間行政機関 (FCEB) の要件となった多要素認証 (MFA) をサポートしていない。このガイダンスは、FCEB 機関に対するものだが、すべての組織に対しても、2022年10月1日までにモダン認証へと切り替え、MFA を有効にするよう促している」と述べている。

Basic 認証は 2022年10月に無効化される

今回の CISA 勧告は、2022年10月1日から世界中のランダム・テナントでベーシック認証を無効化し始めると、この5月に Microsoft が顧客に注意を促したことを受けたものだ。2021年9月に Microsoft は、最初のアナウンスメントとして、すべてのテナントの、すべてのプロトコルに対して、Exchange Online のベーシック認証を無効化すると発表している。

Microsoft は、「当社は、何百万ものテナントにおいてベーシック認証を無効化した。現在も、テナント内で使用されていないプロトコルの無効化を進めているのは、対象となるテナントがベーシック認証を有効にしていると、そのユーザーが攻撃の危険にさらされるからだ」と述べている。

同社は、MAPI/RPC/Offline Address Book (OAB)/Exchange Web Services (EWS)/POP/IMAP/Remote PowerShell の各プロトコルにおいて、ベーシック認証を無効化する予定である。

Microsoft は、SMTP AUTH を使用していない数百万のテナントでは、すでにベーシック認証は無効化されているが、依然として SMTP AUTH を使用しているテナントでは、無効化が進められないとしている。

2021年9月に発表された Guardicore のレポートでは、Exchange Online ユーザーを、ベーシック認証から移行させることの重要性が強調されている。Guardicore の AVP of Security Research だった Amit Serper が、その当時に明らかにしたのは、ベーシック認証を使用しているメール・クライアントの設定ミスにより、何十万もの Windows ドメイン認証情報が、平文で外部ドメインに流出したことである。

2022年10月1日から、Microsoft によるベーシック認証の無効化が始まるのですね。それを受けての CISA 勧告とのことですが、米政府機関におけるモダン認証への切り替えが、一斉に進められることになるようです。このあたり、日本の政府は、どうなっているのでしょうかね?

%d bloggers like this: