詳細情報:
API (OAuth 設定の有効化): 更新トークンの循環の有効化
このコントロールは、新しいアクセストークンの取得に使用されるたびに、各更新トークンを無効にして新しいトークンに置き換えます。
コントロール名
接続アプリケーション: API (OAuth 設定の有効化): 更新トークンの循環の有効化
推奨設定
[更新トークンの循環] を有効にします。
制御の概要
このコントロールは、新しいアクセストークンの取得に使用されるたびに、各更新トークンを無効にして新しいトークンに置き換えます。
設定されていない場合のセキュリティリスク
循環を使用しない場合、更新トークンは「静的」で存続期間が長いため、盗難にあった場合でも、攻撃者がユーザーのパスワードや MFA を必要とすることなく、無期限に新しいセッションを生成できます。
脅威のシナリオ
攻撃者は、ユーザーのローカルデバイスストレージまたは侵害されたログファイルから更新トークンを抽出し、その更新トークンを使用して、元のユーザーがログアウトした後も Salesforce 組織への永続的なサイレントアクセスを維持します。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
循環がないため、「無限のセッションの保持」が可能になり、攻撃者は数か月間検出されずに環境に潜伏し、組織的にデータを盗み出すことができます。
より高いリスク
トークンをセキュリティレベルの低いブラウザー環境やデバイス環境に保存している公開クライアント (モバイルアプリケーションや単一ページアプリケーション) では、悪意のあるソフトウェアによる盗難が発生しやすくなります。
低リスク
更新トークンの循環を PKCE (コード交換の証明鍵) および有効期間の短いアクセストークンと組み合わせる場合、盗まれたトークンが事実上「使い捨て」であることを確認し、攻撃者が新しいトークンを取得するための元の要求者であることを数学的に証明することはできません。
ビジネスと統合に関する考慮事項
循環を有効にすると、新しいトークンの保存に失敗すると、次回の同期試行時にアプリケーションが「ロックアウト」されるため、クライアントアプリケーションは、保存された更新トークンをコールごとに更新できる必要があります。
推奨される修復
接続アプリケーションの OAuth 設定に移動し、[更新トークンの循環を有効化] チェックボックスをオンにします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Reviewでは、更新トークンの循環を、すべてのトークンを1つの使い捨ての資産にすることで、盗まれたログイン情報の「ブラスト半径」を大幅に削減する重要な「Zero Trust」メカニズムとして特定しています。
