詳細情報:
API (OAuth 設定の有効化): デバイスフローで有効化 - 選択解除
このセキュリティ設定では、デバイス認証フローの可用性を管理します。これにより、ユーザーはリソースが限られたデバイスで接続アプリケーションを認証できます。
コントロール名
接続アプリケーション: API (OAuth 設定の有効化): デバイスフローで有効化 - 選択解除
推奨設定
デバイスフローで有効化 - 選択解除。
制御の概要
このセキュリティ設定では、デバイス認証フローの可用性を管理します。ユーザーは、別の Web 接続セカンダリデバイスにショートコードを入力して、リソースが制限されたデバイスで接続アプリケーションを認証できます。
設定されていない場合のセキュリティリスク
インテグレーションで安全でないデバイスログインフローを有効にすると、未承認のデバイスリンクによってブラウザーベースの標準セキュリティ制御が迂回され、アカウントセッションが完全に乗っ取られてしまう脆弱性が生じます。
脅威のシナリオ
攻撃者はソーシャルエンジニアリングを使用して、悪意のある認証コードを正当な Salesforce 検証ページに入力するようにユーザーを説得し、攻撃者の不正なデバイスにユーザーのセッションとデータへの永続的なアクセス権を付与します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
このフローを制限しないと、堅牢な相互認証の保護なしで存続期間の長いアクセストークンと更新トークンを生成でき、組織環境内で横方向の動きが検出されなくなる可能性があります。
より高いリスク
接続アプリケーションに広範な範囲が付与されている場合、または信頼できない地理的な場所からの異常なコード入力パターンを検出するためのリアルタイム監視が会社にない場合。
低リスク
会社がすべての検証試行で多要素認証を義務付け、認証プロセスを完了するために使用するセカンダリデバイスに厳しい IP ベースの制限を適用している場合。
ビジネスと統合に関する考慮事項
このフローは、スマートディスプレイやコマンドラインツールなど、入力機能が制限されたハードウェア向けに設計されていますが、最新のセキュリティ標準では、コード交換用の証明鍵を使用した認証コードフローなど、より安全な方法を採用しています。
推奨される修復
接続アプリケーションの [API (OAuth 設定の有効化)] セクションに移動し、この特定の認証方法を回避するために [デバイスフローを有効化] チェックボックスがオフになっていることを確認します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review では、会社の攻撃対象領域を最小限に抑え、セッションハイジャックのためのセカンダリデバイス検証の悪用を防止するために、デバイスのログインフローの制限を強く推奨する標準として特定しています。
