詳細情報:
接続アプリケーションの OAuth アクセスポリシーの管理: 更新トークンの有効期限ポリシー
このポリシーにより、更新トークンは厳密に「1 回限りの使用」になります。つまり、新しいアクセストークンの要求に使用された瞬間に即座に無効になります。
コントロール名
接続アプリケーションの OAuth アクセスポリシーの管理: 更新トークンの有効期限ポリシー
推奨設定
Refresh Token Policy (更新トークンポリシー) - 更新トークンをすぐに期限切れにします。
制御の概要
このポリシーにより、更新トークンは厳密に「1 回限りの使用」になります。つまり、新しいアクセストークンの要求に使用された瞬間に即座に無効になります。
設定されていない場合のセキュリティリスク
更新トークンは即時期限切れにならないと、時間ベースの期限に達するまで複数回の使用で有効なままになるため、正当なユーザーがすでにセッションを更新した後でも、攻撃者が盗取したトークンを再利用できる可能性があります。
脅威のシナリオ
攻撃者は、元のトークンが自然に期限切れになる前に、ネットワークログファイルまたはローカルストレージから有効な更新トークンを傍受し、それを使用して別のデバイスから複数のアクセストークンを生成します。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
トークンをすぐに期限切れにしないと、正当なユーザーと攻撃者が同じアカウントへの有効な独立したアクセス権を同時に維持できる「同時セッションハイジャック」が可能になります。
より高いリスク
PKCE を使用しない公開クライアント (モバイルアプリケーションまたはブラウザーアプリケーション) の場合、まだ有効な更新トークンを「再利用」するために二次的な暗号証明は必要ありません。
低リスク
更新トークンの循環は、技術的には標準の「スワップ」ロジックの一部として古いトークンの即時期限切れが適用されるため、すでに有効になっています。
ビジネスと統合に関する考慮事項
即時期限切れを実装するには、クライアントアプリケーションで堅牢なエラー処理と信頼性の高い同期データ保存を行い、交換中に新しく発行されたトークンが失われて即座にユーザーがロックアウトされないようにする必要があります。
推奨される修復
接続アプリケーションの OAuth ポリシーに移動し、更新トークンポリシーを「更新トークンをすぐに期限切れにする」に設定します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、侵害されたトークンのユーティリティが攻撃者にとって可能な限り最短になるように、即時期限切れが重要な「リプレイ対策」コントロールとして識別されます。
