ローカルトークンストレージとセキュリティ考慮事項

Azure CLI（Command-Line Interface）

Azure CLIによってトークンや機密データがローカルに保存され、セキュリティ上の懸念が引き起こされます：

1. アクセストークン：C:\Users\<username>\.AzureにあるaccessTokens.json内に平文で保存されています。

2. サブスクリプション情報：同じディレクトリ内のazureProfile.jsonにはサブスクリプションの詳細が保存されています。

3. ログファイル：.azure内のErrorRecordsフォルダには、以下のような機密情報を公開する可能性があるログが含まれています：

   • 資格情報が埋め込まれた実行されたコマンド。

   • トークンを使用してアクセスされたURLなど、機密情報を明らかにする可能性があるもの。

Azure PowerShell

Azure PowerShellもトークンや機密データを保存し、ローカルでアクセスできます：

1. アクセストークン：C:\Users\<username>\.AzureにあるTokenCache.datにアクセストークンが平文で保存されています。

2. サービスプリンシパルのシークレット：これらはAzureRmContext.jsonに暗号化されていない状態で保存されています。

3. トークン保存機能：ユーザーはSave-AzContextコマンドを使用してトークンを永続化する機能を持っていますが、権限なくアクセスされることを防ぐために慎重に使用する必要があります。

それらを見つけるための自動ツール

• Winpeas

• Get-AzurePasswords.ps1

セキュリティ推奨事項

平文で機密データを保存していることを考慮すると、これらのファイルとディレクトリを保護するために次のような対策を取ることが重要です：

• これらのファイルへのアクセス権を制限する。

• これらのディレクトリを権限なくアクセスしたり予期しない変更があったりするかどうかを定期的に監視および監査する。

• 可能な限り機密ファイルを暗号化する。

• このような機密情報を取り扱う際のリスクやベストプラクティスについてユーザーに教育する。