GWS - Persistence
このセクションで言及されているすべての設定変更アクションは、セキュリティアラートをメールで生成し、アカウントに同期されたモバイルにプッシュ通知を送信します。
Gmailでの永続性
Googleからのセキュリティ通知を非表示にするためのフィルターを作成できます
from: (no-reply@accounts.google.com) "Security Alert"
これにより、セキュリティメールがメールに届かなくなります(ただし、モバイルへのプッシュ通知は防げません)
機密情報を転送するための転送アドレスを作成できます(またはすべて)- 手動アクセスが必要です。
https://mail.google.com/mail/u/2/#settings/fwdandpopで転送アドレスを作成します
受信アドレスはこれを確認する必要があります
次に、すべてのメールを転送してコピーを保持するように設定します(変更を保存することを忘れないでください):
特定のメールのみを他のメールアドレスに転送するためにもフィルターを作成し、転送することが可能です。
アプリパスワード
Googleユーザーセッションを侵害し、ユーザーが2FAを持っている場合、アプリパスワードを生成できます(手順を確認するにはリンクを参照)。AppパスワードはGoogleによって推奨されておらず、ユーザーがGoogleアカウントのパスワードを変更すると取り消されます。
オープンセッションがあっても、ユーザーのパスワードを知っている必要があります。
Appパスワードは、2段階認証が有効になっているアカウントでのみ使用できます。
2-FAおよび類似の変更
このページhttps://myaccount.google.com/securityで2-FAを無効にしたり、新しいデバイス(または電話番号)を登録することも可能です。デバイスを追加する、パスワードを変更する、携帯電話の検証電話番号を追加する、回復用の電話番号を変更する、回復メールを変更する、セキュリティの質問を変更することもできます。
ユーザーの電話にセキュリティプッシュ通知が届かないようにするには、ここからユーザーのスマートフォンからサインアウトすることができます(それは奇妙なことですが)。ここから再度サインインすることはできません。
デバイスの場所を特定することも可能です。
オープンセッションがあっても、ユーザーのパスワードを知っている必要があります。
OAuthアプリを介した永続性
ユーザーアカウントを侵害した場合、すべての可能な権限をOAuthアプリに付与するだけで済みます。唯一の問題は、Workspaceが未承認の外部および/または内部OAuthアプリを許可しないように構成されている可能性があることです。 Workspace組織がデフォルトで外部OAuthアプリを信頼しないことはかなり一般的ですが、内部アプリには信頼を置いているため、組織内で新しいOAuthアプリを生成する権限がある場合、外部アプリが許可されていない場合は、新しい内部OAuthアプリを生成し、その新しい内部OAuthアプリを使用して永続性を維持できます。
OAuthアプリに関する詳細情報については、次のページを参照してください:
pageGWS - Google Platforms Phishing委任による永続性
攻撃者が制御する別のアカウントにアカウントを委任するだけで済みます(許可されている場合)。Workspaceの組織では、このオプションを有効にする必要があります。誰にでも無効にすることもできますし、一部のユーザー/グループに対して有効にすることもできます(通常は一部のユーザー/グループにのみ有効にされるか、完全に無効にされます)。
最終更新