Az - Local Cloud Credentials

ローカルトークンストレージとセキュリティ考慮事項

Azure CLI（コマンドラインインターフェース）

Azure CLIによってトークンや機密データがローカルに保存され、セキュリティ上の懸念が引き起こされます：

1. アクセストークン：C:\Users\<username>\.AzureにあるaccessTokens.json内に平文で保存されています。

2. サブスクリプション情報：同じディレクトリ内のazureProfile.jsonにサブスクリプションの詳細が保存されています。

3. ログファイル：.azure内のErrorRecordsフォルダには、埋め込まれた資格情報を含むログや、トークンを使用してアクセスされたURLなど、機密情報が露呈されている可能性があります。

Azure PowerShell

Azure PowerShellもトークンや機密データを保存し、ローカルでアクセスできます：

1. アクセストークン：C:\Users\<username>\.AzureにあるTokenCache.datにアクセストークンが平文で保存されています。

2. サービスプリンシパルのシークレット：これらはAzureRmContext.jsonに暗号化されていない状態で保存されています。

3. トークン保存機能：ユーザーはSave-AzContextコマンドを使用してトークンを永続化する機能を持っていますが、権限なくアクセスされることを防ぐために慎重に使用する必要があります。

それらを見つけるための自動ツール

• Winpeas

• Get-AzurePasswords.ps1

セキュリティ推奨事項

平文で機密データを保存していることを考慮すると、これらのファイルとディレクトリを保護するために次のような対策を取ることが重要です：

• これらのファイルへのアクセス権を制限する。

• これらのディレクトリへの権限ないアクセスや予期しない変更を定期的に監視および監査する。

• 可能な限り機密ファイルを暗号化する。

• このような機密情報の取り扱いに関するリスクとベストプラクティスについてユーザーに教育する。