ゴールデンSAML|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ゴールデンSAML
             

ゴールデンSAML

ゴールデンSAML(Golden SAML)とは、SAML(Security Assertion Markup Language)認証を悪用した高度なサイバー攻撃手法の一つです。この攻撃手法により、攻撃者は一度特権を取得した後、任意のユーザーや権限でクラウドサービスやオンプレミスのアプリケーションにアクセスできるようになります。SAMLは、特に企業のシングルサインオン(SSO)やクラウド環境で広く利用されている認証プロトコルであり、IDプロバイダ(IdP)とサービスプロバイダ(SP)の間で認証情報をやり取りする際に使われます。攻撃者は、このプロセスに介入してSAMLトークンを不正に作成することで、権限を奪うことが可能になります。

ゴールデンSAMLは、2017年にセキュリティ企業のCyberArkによって発見され、特に大規模な企業環境やクラウドプラットフォーム(Microsoft 365、AWSなど)において脅威とされています。

ゴールデンSAML攻撃の仕組み

ゴールデンSAML攻撃の基本的な仕組みは以下の通りです。

  1. IDプロバイダ(IdP)の特権認証情報を取得
    攻撃者は、まずIDプロバイダ(通常はActive Directoryフェデレーションサービス、AD FSなど)の管理者特権を持つアカウントにアクセスし、署名証明書(秘密鍵)を取得します。この証明書は、SAMLトークンの生成時に使用され、認証の信頼性を担保します。
  2. 不正なSAMLトークンの作成
    攻撃者は取得した署名証明書を用いて、不正なSAMLトークンを生成します。このトークンは、任意のユーザーIDや権限を設定できるため、管理者権限などの強力な特権を持つユーザーとして偽装することが可能です。
  3. サービスプロバイダ(SP)へのアクセス
    攻撃者は偽造したSAMLトークンを用いてサービスプロバイダにアクセスします。サービスプロバイダは、トークンの正当性をIdPの署名証明書で確認するだけのため、攻撃者の不正なアクセス要求が正当なものとして受け入れられます。
  4. 永続的なアクセスの確保
    攻撃者は、このSAMLトークンを使ってサービスプロバイダのクラウドサービス(Microsoft 365、AWSなど)にアクセスを繰り返し、管理者権限を持つユーザーとして情報を盗んだりシステムを改ざんしたりします。通常のIDプロバイダの認証システムでは、攻撃者のアクセスを検知しにくいのが特徴です。

ゴールデンSAML攻撃のリスクと影響

ゴールデンSAML攻撃が成功すると、以下のようなリスクや影響が生じる可能性があります。

  1. 無制限のクラウドアクセス
    一度証明書が取得されると、攻撃者はクラウドサービスやアプリケーションへのアクセスを自由に行うことができ、管理者権限を持つことでデータの流出やシステムの改ざんが容易に行えます。
  2. 長期間の潜伏
    ゴールデンSAML攻撃では、攻撃者が定期的にSAMLトークンを作成し直せば、長期間にわたってアクセスが可能です。被害が検知されにくく、監査ログにも正規のログインとして記録されるため、攻撃の発覚が遅れる可能性があります。
  3. 二要素認証(2FA)やパスワードリセットの無効化
    SAMLトークンによりシングルサインオンで認証が完了するため、2FAやパスワードリセットといった追加の認証手段が無効化され、セキュリティ対策を回避されます。

ゴールデンSAML攻撃に対する対策

ゴールデンSAML攻撃は高度な技術を要し、特に署名証明書(秘密鍵)を取得されない限り実行されないため、秘密鍵の保護が重要です。以下のような対策が効果的です。

  1. 署名証明書の厳重な管理
    AD FSなどのIdPで使用される署名証明書は、アクセス制限をかけ、厳重に保管します。定期的に証明書をローテーション(更新)することで、攻撃者が以前に取得した証明書を利用できなくなります。
  2. IDプロバイダへのアクセス管理と監視
    IdPへのアクセスは最低限にとどめ、管理者アカウントに対する多要素認証(MFA)を適用します。IdPの監視も徹底し、異常なアクセスを検出することで攻撃の兆候を早期に発見できます。
  3. 監査ログの監視と分析
    サービスプロバイダのアクセスログやIDプロバイダの監査ログを定期的に分析し、異常な動きやアクセスパターンがないかを確認します。特に管理者権限でのアクセスは慎重にチェックします。
  4. クラウドセキュリティポリシーの強化
    クラウド環境のアクセス制御やセキュリティポリシーを強化し、必要最低限の権限だけを付与する「最小権限の原則」を徹底することが重要です。また、不要なアカウントや権限の管理も行い、外部からのアクセスリスクを下げます。

まとめ

ゴールデンSAMLは、SAML認証の構造を悪用した高度なサイバー攻撃手法で、一度特権を取得した攻撃者がIDプロバイダの署名証明書を使って不正なSAMLトークンを生成することで、クラウドやオンプレミスのリソースにアクセスできるようにします。SAML認証を用いたシステムでは、この攻撃を防ぐために、署名証明書の厳重管理、IDプロバイダへのアクセス制御、監査ログの監視といった対策が不可欠です。ゴールデンSAML攻撃を防止するためには、鍵管理やアクセス監視を徹底し、クラウドやシングルサインオンの環境でのセキュリティ対策を強化することが求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。