Red Canaryの脅威調査チームは、OAuthベースのアプリケーション攻撃の増加傾向を特定しており、Entra ID内で特に危険なシナリオが展開されています。
この場合、攻撃者は正当なChatGPTアプリケーションを利用してOAuthパーミッションを悪用し、ユーザーのメールアカウントへの不正アクセスを許可しています。
この侵害は、OAuth同意を適切に管理することの重要性と、サードパーティアプリケーションがユーザーデータへの過度なアクセスを得るリスクを浮き彫りにしています。
攻撃シナリオは、従業員がChatGPTサービスプリンシパルをEntra IDテナントに追加し、メール(Mail.Read)およびその他のユーザーデータ(offline_access、profile、openid)へのアクセスを許可するOAuthパーミッションに同意するときに始まります。
このアクションは正当なOpenAIアプリケーション経由で行われ、信頼されたサービスのようなふりをしていますが、この場合、攻撃者に悪用されました。ユーザーはアプリケーションに許可を与え、知らないうちに攻撃者が機密メールデータにアクセスできるようにしてしまいました。
重要なリスクはMailパーミッションリクエストにあります。読み取りスコープは、攻撃者がメールデータを盗むために頻繁に悪用されます。攻撃はこの正当なリクエストを悪用し、被害者のメールアカウントへの不正アクセスが発生しました。
調査により、ログとイベント相関の確認が促され、追加されたサービスプリンシパル(ChatGPT)と付与された特定のOAuthパーミッションに特に注意を払いました。
ChatGPTのようなアプリケーションを利用したOAuth攻撃は、特に従業員がターゲットにされ、不正なパーミッションの付与を強制されるときに、組織内での増加する脅威です。
監視を強化し、厳格な同意ポリシーを実施することで、組織はそのような攻撃からより良く保護し、不正なデータアクセスによるダメージを制限できます。
翻訳元: https://cyberpress.org/chatgpt-powers-oauth-email-breach/