Az - Local Cloud Credentials

ローカルトークンストレージとセキュリティ考慮事項

Azure CLI (コマンドラインインターフェース)

トークンと機密データはAzure CLIによってローカルに保存されており、セキュリティ上の懸念があります：

1. アクセストークン: C:\Users\<username>\.AzureにあるaccessTokens.jsonにプレーンテキストで保存されています。

2. サブスクリプション情報: 同じディレクトリにあるazureProfile.jsonにはサブスクリプションの詳細が含まれています。

3. ログファイル: .azure内のErrorRecordsフォルダーには、次のような資格情報が露出したログが含まれている可能性があります：

• 資格情報が埋め込まれた実行されたコマンド。

• トークンを使用してアクセスされたURL、機密情報を明らかにする可能性があります。

Azure PowerShell

Azure PowerShellもトークンと機密データを保存しており、ローカルでアクセス可能です：

1. アクセストークン: C:\Users\<username>\.AzureにあるTokenCache.datにプレーンテキストで保存されています。

2. サービスプリンシパルの秘密: これらはAzureRmContext.jsonに暗号化されずに保存されています。

3. トークン保存機能: ユーザーはSave-AzContextコマンドを使用してトークンを永続化することができ、無許可のアクセスを防ぐために注意して使用する必要があります。

自動ツールでの発見

• Winpeas

• Get-AzurePasswords.ps1

セキュリティ推奨事項

プレーンテキストでの機密データの保存を考慮すると、これらのファイルとディレクトリを保護することが重要です：

• これらのファイルへのアクセス権を制限する。

• 無許可のアクセスや予期しない変更のために、これらのディレクトリを定期的に監視および監査する。

• 可能な限り機密ファイルに暗号化を適用する。

• ユーザーに対して、こうした機密情報の取り扱いに関するリスクとベストプラクティスについて教育する。