detecting-oauth-token-theft

detecting-oauth-token-theft skill の概要

detecting-oauth-token-theft skill は、クラウドID環境における OAuth トークンの窃取、リプレイ、セッションハイジャックを調査・抑止するための skill です。特に Microsoft Entra ID と、その周辺にある M365 のセキュリティワークフローで力を発揮します。サインイン証跡を、具体的な検知計画や封じ込め計画に落とし込みたい Security Audit、インシデント対応、ハードニングレビューで最も有用です。

この skill の用途

detecting-oauth-token-theft skill を使うべきなのは、「OAuth とは何か」ではなく、「トークン悪用をどう証明し、影響範囲をどう見極め、次回はどう早く検知するか」を知りたいときです。想定するのは、impossible travel、見慣れないデバイス、複数 IP からの同一トークン再利用、リスクの高い scope、サインイン異常といった、実務で使える指標です。

想定する読者とチーム

この skill は、Microsoft Entra ID 中心の環境で働くクラウドセキュリティエンジニア、ID 防御担当、SOC アナリスト、監査担当に向いています。すでに sign-in logs、conditional access policy、identity protection のテレメトリがあり、それをどう読み解くかをガイド付きで整理したい場合に特に適しています。

何が優れているのか

一般的な prompt と違い、この detecting-oauth-token-theft skill は、単なる助言ではなくワークフローと検知ロジックに紐づいています。repo にはスクリプト、ログフィールドと scope マッピングをまとめた参照ドキュメント、そして access token 窃取、refresh token リプレイ、Primary Refresh Token の悪用、pass-the-cookie 攻撃といった具体的な攻撃パターンが含まれています。

detecting-oauth-token-theft skill の使い方

ワークフローにインストールして読み込む

detecting-oauth-token-theft skill のインストールは次のとおりです。

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-oauth-token-theft

インストール後は、まず SKILL.md を読み、次に references/api-reference.md、scripts/agent.py を確認してください。この3つを見れば、何を検知する skill なのか、どんなデータを前提にしているのか、検知ロジックがどう実装されているのかが分かります。

事件コンテキストを適切に与える

この skill は、構造化された入力があるほどよく機能します。tenant の種類、ID プラットフォーム、アラートの発生元、時間範囲、影響を受けたユーザー、疑わしい IP、既知のトークンやデバイスの手がかりを入れてください。弱い prompt は「OAuth theft を確認して」です。より強い prompt は、例えば次のようになります。

“Microsoft Entra ID で user alice@contoso.com に対する OAuth token theft の可能性を、08:00 〜 12:00 UTC の間で調査してください。impossible travel、新しいデバイス、2か国からの繰り返しサインインが見られました。想定される悪用経路、ログクエリ、封じ込め手順を提案してください。”

この程度まで具体化すると、skill は大まかな理屈ではなく、実際に使える検知ガイダンスを返しやすくなります。

この順番でファイルを読む

まず SKILL.md でスコープと前提条件を確認し、次に references/api-reference.md でログフィールド、重要な scopes、サンプルクエリを見てください。scripts/agent.py は実装上の手がかりとして使えます。geo/time speed check、デバイスの新規性、反復利用パターンなど、どの条件が重要かが分かります。

実践的な使い方のコツ

アラート名だけでなく、実際の sign-in evidence を入れてください。タイムスタンプ、送信元 IP、device ID、resource 名、sign-in status code を含めるほど出力は良くなります。Security Audit 用に使うなら、検知コントロール、調査手順、防止コントロールを分けて出すよう依頼すると、レポートや runbook に落とし込みやすくなります。

detecting-oauth-token-theft skill の FAQ

これは Microsoft Entra ID 専用ですか？

いいえ。設計の中心は Microsoft Entra ID ですが、同等の sign-in、device、token-use テレメトリを提供する他の identity provider にも、検知の考え方は応用できます。必要なフィールドを提供しないプラットフォームでは、この skill の適合度は下がります。

通常の prompt との違いは何ですか？

通常の prompt では、一般的な ID セキュリティの助言に終わることがあります。detecting-oauth-token-theft skill は、ログから始め、具体的な replay 指標を探し、結果を conditional access や token protection の判断につなげる、再現性のあるワークフローを求めるときに向いています。

初心者でも使えますか？

はい、基本的な ID 用語を知っていれば使えます。調査で見るべき証拠へ導いてくれるので初心者にも扱いやすいですが、tenant logs へのアクセスや、Entra ID の sign-in data を実際に読める理解の代わりにはなりません。

使わないほうがいいのはどんなときですか？

Kerberos ticket の悪用、domain controller の侵害、その他の on-premises AD 攻撃には使わないでください。そうした問題には、detecting-oauth-token-theft が扱うものとは異なる調査手法とテレメトリが必要です。

detecting-oauth-token-theft skill を改善するには

証拠の質を上げる

最も効く改善は、入力データを良くすることです。正確なタイムスタンプ、tenant 名、user principal name、IP アドレス、device ID、geo のヒント、MFA や conditional access が成功したかどうかを含めてください。可能なら、要約ではなく小さな log sample をそのまま貼るほうが効果的です。

出力タイプは一度に1つに絞る

この skill は、目的を分けたほうが強く働きます。たとえば、最初は “likely abuse hypothesis and supporting indicators” を求め、次に “log queries”、その次に “containment and prevention controls” を求める、という順番です。そうすると detecting-oauth-token-theft guide の焦点がぶれず、曖昧な混在出力を減らせます。

自社環境向けに調整する

組織で Okta、hybrid identity、複数の M365 tenant を使っているなら、最初にそれを明示してください。references/api-reference.md と scripts/agent.py の検知ロジック自体は有用ですが、実運用に使う前に field 名、log source、risk threshold を調整する必要がある場合があります。

最初の回答を起点に反復する

最初の出力は、調査のたたき台として扱ってください。重要な sign-in を見落としているなら、テレメトリを追加して、より狭い時間範囲、または “token replay after device change” や “scope abuse after consent” のような、より強い仮説で再実行してください。Security Audit や incident response で detecting-oauth-token-theft の結果をより良くするには、これが最短ルートです。