見出し画像

Azure ADの「通常とは異なる移動」検出で、不正ログインがないか「サインイン」ログをチェックした話

情シスが毎朝最初に行う業務はシステムとログのチェック

普通の会社員の方は、毎朝最初に行う業務は、未確認のメールやチャットツールのコメントを確認すること、だと思われます。

情シスの私の場合は、それに各種システムの正常性確認とログチェックが追加されます。
サーバやシステムは正常動作しているか?夜間バッチで行った作業やバックアップは正常動作したか?Zabbixは怪しいログをはいてないか?等々。

AzureADのログチェック「リスク検出」→「通常とは異なる移動」で不正アクセスチェック

そんなログチェック対象には、Azure Active Directory(以下Azure AD)も含まれます。

AzureADとは、Microsoft社のクラウド型のActive Directory(以下AD)です。ADとはオンプレミス型の会社のリソースを管理するサービスで、ユーザー認証とアクセス制御を行います。弊社では、ADからAzureADにユーザ情報を連携し、社内ネットワークとクラウドサービスをハイブリッドで管理しています。

弊社の場合は、AzureADの「リスク検出」→「通常とは異なる移動」が検出された場合「Microsoft365(Office365)に不正アクセスの可能性がある」とみなし、社員とその上司に警告と不正アクセスの有無の確認を行い、念のためパスワード変更をしていただく、というルールがあります。

「通常とは異なる移動」とは?

「通常とは異なる移動」とは何なのか?
マイクロソフト公式の(よくわからない翻訳された日本語の)説明は、こちらの「通常とは異なるサインイン プロパティ」になります。

ざっくり話すと(私もAzureAdについては詳しくないのですが)「過去同じような場所からMicrosoft365アカウントに安定的にサインインしていたのに、ある時突然遠く離れた場所からサインインされた場合に、AzureADのAIが自動的に検出する」機能だそうです。

どんなときに「通常とは異なる移動」が検出される?

私の乏しい経験上では、これが検出されたのは「普段国内勤務の社員が、出張で海外に移動し、海外のネットワークから自分のMicrosoft365アカウントにサインインした場合」か、「普段国内勤務の社員のMicrosoft365アカウントに、海外から不正アクセスがあった場合」の2つでした。

「通常とは異なる移動」の対処方法は?

弊社のルールでは、検出された社員とその上司に「この日に海外などで仕事をしましたか?」とヒアリングし、その覚えがない場合は「念のためMicrosoft365のパスワードを変更していただく」となっています。

弊社のMicrosoft365は二要素認証を採用しており、パスワードを突破されただけではアカウント乗っ取りができないため、通常はこれで対処終了です。

怪しい場合は対象ユーザの「サインイン」をチェックする

ところが先週は、この「通常とは異なる移動」が4回、海外の同じ場所から別社員に対応して検出されました。対象社員にヒアリングしても、そこからアクセスしたことはない、とのことでした。

ちょっと怪しかったので、もう一歩踏み込んで調査しました(弊社では不正アクセスの可能性がある場合など必要な際は、対象社員のアクセス履歴を確認してよいルールとなっています)。

(さすがに会社のログ画面をみせられないので、文字だけの説明になりますが)Azure ADのサインイン→(対象社員を検索)→リンクをクリックすると、その社員のサインイン履歴が過去30日までさかのぼって確認できます。

ここから「通常とは異なる移動」が検出された日時を探すと・・、ここだけぽつんと外国からサインインされた形跡がありました。そのサインインは、「状態」が「失敗」や「中断」になっていました。

「サインイン」の「状態」と「条件付きアクセス」で本当にサインインされたかを確認

Microsoftのサポートに確認したところ「「状態」が「成功」の場合は、サインインに成功した(侵入に成功された)場合」とのことです。

本当かな?と思ったので、私のアカウントで簡単に試しました(私物スマホから、二要素認証がかかった自分のMicrosoft365アカウントに、パスワード失敗、パスワード成功&二要素中断、パスワード成功&二要素成功、の3パターンを試しました)

その結果が以下です。「状態」だけでなく「条件付きアクセス」というステータスも同時に確認すると、動きがよくわかりました。

パスワード失敗時→状態:失敗 条件付きアクセス:適用されていません
パスワード成功&二要素中断→状態:中断 条件付きアクセス:失敗
パスワード成功&二要素成功→状態:成功 条件付きアクセス:成功

外国からのサインインは「状態」が「中断」になっていたものもあったので、二要素認証をかけていなかったら、不正アクセスに成功されていたかもしれません。二要素認証大事!

なおもっと詳細にサインイン情報を確認すれば、詳しくわかるようですので、時間ができたときに調べてみたいな、と思いました。

・・忙しい情シスにそんな時間はありませんがね。




いいなと思ったら応援しよう!