# NHI1:2025 不適切なオブボーディング (Improper Offboarding)
| 脅威エージェントと攻撃ベクトル | セキュリティ上の弱点 | 影響度 |
| ------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- |
| 悪用可能性: **容易** | 蔓延度: 広範
検出可能性: 困難
| 技術的影響: 重大
ビジネスへの影響: 限定
|
| 不適切にオフボードされた NHI を悪用するには状況に大きく依存します。内部脅威やラテラルムーブメントのケースを考えると、不適切にオフボードされたアイデンティティを悪用するために必要なクレデンシャルを特定することは非常に簡単です。 | 現在の NHI (サービスアカウントなど) のオフボーディング機能は不十分であり、組織は利用可能なオプションをほとんど利用していません。そのため、多くの NHI は不要になった後や元の所有者が離職した後も長い間アクティブのままです。
セキュリティチームには、使用されなくなり適切にオフボードされなかった NHI を検出するための効果的なツールがありません。現在の検出方法は、コンパイルと分析に長い時間がかかる不完全な情報に依存しています。
| 内部関係者は組織についての深い知識を持っていることが多いため、不適切にオフボードされた NHI を悪用すると、重要なシステムの侵害、機密データの流出、高度な永続化手法の使用につながる可能性があります。 |
## 説明
不適切なオブボーディングとは、不要になったサービスアカウントやアクセスキーなどの非人間アイデンティティ (NHI) の不適切な非アクティブ化や削除を指します。この状況は、通常、以下のいずれかのシナリオによって発生します。
1. アプリケーションが廃止されたり、サービスがオフラインになり、それらが依存していた NHI が不要になり、使用されなくなる場合 (一般に「陳腐化 (stale)」または「休止状態 (dormant)」と呼ばれます)。
2. 元の所有者が離職するが、関連する NHI が新しく任命された所有者なしでアクティブのままである場合 (一般に「孤立 (orphaned)」と呼ばれます)。
3. 管理者または開発者は、多くの場合 NHI の実際の所有者では *ありません* が、クレデンシャルが公開され、それを取り消すことなく組織を離れる場合 (一般に「部分的にオフボードされた従業員 (partially offboarded employee)」と呼ばれます)。
NHI を適切にオフボードしないと、重大なセキュリティリスクをもたらします。監視されていないサービスや廃止されたサービスは脆弱なままになることがあり、関連する NHI が攻撃者に悪用され、機密性の高いシステムやデータに不正アクセスされる可能性があります。さらに、そのような NHI は高い権限を保持する可能性があり、セキュリティ侵害による潜在的な損害を増幅します。
## 攻撃シナリオの例
* **休止状態の Kubernetes サービスアカウント:** 廃止されたサービスに属する Kubernetes クラスタはアクティブなサービスアカウントを持ち続けます。攻撃者がこの監視されていないクラスタにアクセスした場合、これらのサービスアカウントを悪用して組織のインフラストラクチャ内の他のリソースとやり取りし、データ流出やさらなる侵害につながる可能性があります。
* **失効していないクレデンシャルを悪用する元従業員:** 特定のクレデンシャルにアクセスできる自動サービスを管理している従業員が組織を離れます。関連する NHI はアクティブなままであり、そのクレデンシャルは失効や入れ替えしていないため、元従業員は依然として有効なクレデンシャルを悪用して組織のシステムにリモートアクセスできます。これはその従業員の個人アカウントが失効した場合でも実行でき、不正なデータアクセス、サービス中断、妨害行為につながります。
* **権限昇格とラテラルムーブメントに使用される残存アプリ:** ワークロードテスト用の非本番環境で作成されたアプリケーションは、テストスイートの一部として機密性の高い環境に接続されます。ワークロードが本番環境に移動された後も、アプリケーションは廃止されません。その結果、セキュアではない非本番環境に侵害した攻撃者は、このアプリケーションを使用して組織内でラテラルに移動できます。
* **従業員は離れたが、アカウントが残存:** ビジネスに不可欠なアプリケーションを構築した熟練のアプリケーション開発者が組織を離職します。所有権は新しいチームに移管されましたが、アプリケーションの操作、特にアクセスキーに依存していることを完全に理解している人はいません。時間が経過しても、このキーはアクティブなまま気付かれることなく、セキュリティ脆弱性とステルス的なラテラルムーブメントの格好のターゲットになります。
## 防御方法
* 離職する従業員に関連するすべての NHI を見直すオフボーディングプロセスを導入します。関連する NHI がまだ必要かどうかを判断します。必要でない場合は、廃止します。必要な場合は、所有権を別の従業員に移譲し、離職する従業員がアクセスしていたクレデンシャルを入れ替えます。
* 人事システムをアイデンティティおよびアクセス管理 (IAM) ツールと統合して、可能な限りオフボーディング手順を自動化します。
* NHI を定期的に再認証して、それらがまだ使用中であり、積極的に必要とされており、有効な所有者がいることを確認します。不要になったアイデンティティは廃止し、すべての NHI に所有者が割り当てられていることを確保します。
* アクティブな NHI を定期的に監査して、継続的な使用を監視し、悪用の可能性を阻止します。
## 参考情報
* [Oasis Security: Decommissioning Orphaned and Stale Non-Human Identities](https://www.oasis.security/resources/blog/decommissioning-orphaned-and-stale-non-human-identities)
* [Ex-Employee Accessed Former Company's System and Deleted Resources](https://www.channelnewsasia.com/singapore/former-employee-hack-ncs-delete-virtual-servers-quality-testing-4402141)
* [Microsoft Breach by Midnight Blizzard Threat Actor](https://msrc.microsoft.com/blog/2024/01/microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/)
## データポイント
* CSA NHI Report - 31% の回答者が不十分な NHI オブボーディングを最も懸念される NHI 脅威のトップ 3 の一つに挙げています。 (5/10)
* CSA NHI Report - 32% の回答が NHI 関連のセキュリティインシデントの原因として管理されていないアイデンティティを挙げています。 (4/10)
* CSA NHI Report - 15% の組織が NHI ツールの最も重要な機能として自動プロビジョニングとプロビジョニング解除を必要としています。 (9/16)
* CSA NHI Report - 51% の組織が長期間有効な API キーをオフボードまたは失効するための正式なプロセスを持っていません。
* 最近の侵害 - [Microsoft Breach](https://medium.com/@ronilichtman/how-to-protect-yourself-from-the-microsoft-oauth-attack-powershell-scripts-included-71b398034b8d)