プライマリリフレッシュトークンは、選択のハッカーの盗難ターゲットになりつつあります

十分に注意を払っていない場合は、ステロイドのスーパーブラウザトークンのような新しいタイプのアクセス制御トークンが、選択のハッカーの盗難ターゲットになりつつあります。

If you haven’t been paying attention closely enough, a new type of access control token, like a super browser token on steroids, is becoming hackers' theft target of choice. It is known as a primary refresh token. In the Microsoft ecosystem, it’s the king of tokens.

十分に注意を払っていない場合は、ステロイドのスーパーブラウザトークンのような新しいタイプのアクセス制御トークンが、選択のハッカーの盗難ターゲットになりつつあります。プライマリリフレッシュトークンとして知られています。 Microsoft Ecosystemでは、TokensのKingです。

Most access control tokens give users access to a single application, service, or site. If I use my browser to successfully login to an app/service/site, my browser will get a browser “cookie,” which is just a text file usually containing a randomly generated session ID, that gives that browser continued access to that app/service/site without having to re-logon again for a preset number of days or weeks.

ほとんどのアクセス制御トークンは、ユーザーが単一のアプリケーション、サービス、またはサイトにアクセスできるようにします。ブラウザを使用してアプリ/サービス/サイトに正常にログインすると、ブラウザはブラウザ「Cookie」を取得します。これは通常、ランダムに生成されたセッションIDを含むテキストファイルであり、そのブラウザは、そのアプリ/サービス/サイトに継続的にアクセスして、事前に数日または数週間を再生する必要がありません。

My browser gets a separate access control token cookie for each app/service/site I successfully log on to. Most of us, if we go to our cookie directory, will see hundreds of cookies.

私のブラウザは、正常にログオンする各アプリ/サービス/サイトごとに個別のアクセスコントロールトークンクッキーを取得します。私たちのほとんどは、Cookieディレクトリに行くと、何百ものCookieが表示されます。

Hackers and their malware creations love to steal our browser cookies because they act as “bearer tokens.” Whoever has them is essentially seen as us to that app/service/site. Here is a great demo created by the late, great Kevin Mitnick (our former Chief Hacking Officer and owner) on a cookie being stolen and reused.

ハッカーとそのマルウェアの作成は、「ベアラートークン」として機能するため、ブラウザのクッキーを盗むのが大好きです。それらを持っている人は、本質的にそのアプリ/サービス/サイトに私たちとして見られます。これは、盗まれて再利用されているクッキーに、遅くて偉大なケビン・ミトニック（私たちの元最高ハッキング責任者および所有者）によって作成された素晴らしいデモです。

Hackers love cookie theft because it can work whether you are using a password, multi-factor authentication (MFA), biometrics, or some other super-duper authentication method. If the hacker gets your access control token cookie, it’s game over…for you and the involved app/site/service.

ハッカーは、パスワード、マルチファクター認証（MFA）、バイオメトリクス、またはその他のスーパーダーパー認証方法を使用しているかどうかにかかわらず機能するため、Cookieの盗難が大好きです。ハッカーがアクセスコントロールトークンクッキーを取得した場合、それはゲームオーバーです...あなたと関係するアプリ/サイト/サービスのために。

Hackers have been stealing browser cookies for decades, and just now some organizations, like Google, are trying to come up with ways to better protect them, such as device-bound cookies. Still, importantly, none of the existing cookie protections are all that great. Most can still be easily circumvented by hackers. Your cookies are still very valuable to any hacker who has them.

ハッカーは何十年もブラウザCookieを盗んできており、今ではGoogleのような一部の組織は、デバイスに縛られたCookieなど、それらをよりよく保護する方法を考え出しようとしています。それでも、重要なことに、既存のCookie保護はどれもそれほど素晴らしいものではありません。ほとんどはハッカーによって簡単に回避できます。あなたのクッキーは、それらを持っているハッカーにとってはまだ非常に貴重です。

Most cybersecurity defenders have understood our cookie problem. What most defenders are not aware of is Microsoft’s new primary refresh tokens, which are sort of like an access control token cookie on steroids.

ほとんどのサイバーセキュリティディフェンダーは、私たちのCookieの問題を理解しています。ほとんどのディフェンダーが知らないのは、マイクロソフトの新しいプライマリリフレッシュトークンです。これは、ステロイドのアクセスコントロールトークンクッキーのようなものです。

What is a Primary Refresh Token?In short, it’s a Microsoft-only invention used in Microsoft ecosystems (AFAIK) that allows a user or device to access multiple apps/services/sites at once (i.e., Single-Sign-On) and usually for extended periods of time. They’ve been around since at least 2020, but are gaining in popularity.

プライマリリフレッシュトークンとは何ですか？要するに、それはMicrosoft Ecosystems（AFAIK）で使用されるMicrosoftのみの発明であり、ユーザーまたはデバイスが複数のアプリ/サービス/サイトに一度にアクセスできる（つまり、単一署名オン）、通常は長期間にわたってアクセスできます。彼らは少なくとも2020年から存在していますが、人気が高まっています。

Microsoft describes them this way:

マイクロソフトはこのように説明しています。

“A Primary Refresh Token (PRT) is a key artifact of Microsoft Entra [formerly Microsoft Azure AD] authentication on Windows 10 or newer, Windows Server 2016 and later versions, iOS, and Android devices. It's a JSON Web Token (JWT) specially issued to Microsoft first party token brokers to enable single sign-on (SSO) across the applications used on those devices.

「プライマリリフレッシュトークン（PRT）は、Microsoft Entra [以前のMicrosoft Azure AD] Windows 10またはNewer、Windows Server 2016およびその後のバージョン、iOS、Androidデバイスの認証の重要なアーティファクトです。これは、Microsoftのファーストパーティトークンブローカーに特別に発行されたJSON Webトークン（JWT）で、これらのデバイスで使用されるアプリケーション全体でシングルサインオン（SSO）を有効にします。

In this article, provide details on how a PRT is issued, used, and protected on Windows 10 or newer devices. We recommend using the latest versions of Windows 10, Windows 11 and Windows Server 2019+ to get the best SSO experience.”

この記事では、PRTがWindows 10または新しいデバイスでどのように発行、使用、保護されているかの詳細を提供します。 Windows 10、Windows 11、およびWindows Server 2019の最新バージョンを使用して、最高のSSO体験を得ることをお勧めします。」

When you logon to a Microsoft ecosystem, especially using a device officially “registered” with Microsoft Entra, a primary refresh token could/will be issued to your user for a particular device. It contains your device ID and an encrypted session symmetric key.

特にMicrosoft Entraに正式に「登録」されたデバイスを使用してMicrosoftエコシステムにログオンすると、特定のデバイスのプライマリリフレッシュトークンがユーザーに発行される可能性があります。デバイスIDと暗号化されたセッション対称キーが含まれています。

When you log in to the Microsoft ecosystem (e.g., Microsoft Entra, Microsoft O365, etc.), your Microsoft Windows 10/Microsoft Windows Server 2016 or later device will communicate with the Windows Cloud Authentication Provider. The Microsoft Entra plug-in will validate your credentials (e.g., password, MFA, Windows Hello, etc.) and return a primary refresh token and the included session key.

Microsoft Ecosystem（Microsoft Entra、Microsoft O365など）にログインすると、Microsoft Windows 10/Microsoft Windows Server 2016以降のデバイスがWindows Cloud認証プロバイダーと通信します。 Microsoft Entraプラグインは、資格情報（パスワード、MFA、Windows Helloなど）を検証し、プライマリリフレッシュトークンと含まれるセッションキーを返します。

Windows will encrypt the session key with the Trusted Platform Module (TPM) chip encryption key (if available) and then store it locally using Windows Local Security Authority Subsystem Service (LSASS), where Microsoft stores and processes a lot of authentication info.

Windowsは、信頼できるプラットフォームモジュール（TPM）チップ暗号化キー（利用可能な場合）でセッションキーを暗号化し、Windows Local Security Authority Subsystem Service（LSASS）を使用してローカルに保存します。

You can see if you and your device have a primary refresh token is present on a device running the following command in a command prompt:

あなたとお使いのデバイスがプライマリリフレッシュトークンを持っているかどうかを確認できます。コマンドプロンプトで次のコマンドを実行しているデバイスに：

dsregcmd /status and then ENTER.

dsregcmd /statusして入力します。

Find the "SSO state" section and look for the "AzureAdPrt" value. It will be set to "YES" if you have a primary refresh token or "NO" if you don’t. The session key is the “bearer token.” There is currently no way to see “inside” a primary refresh token the way you can a browser cookie. You could be issued multiple primary refresh tokens, one for each user work account registered to the device.

「SSO State」セクションを見つけて、「AzureadPrt」値を探します。プライマリリフレッシュトークンがある場合は「はい」に設定されます。セッションキーは「ベアラートークン」です。現在、ブラウザのクッキーができる方法で「内部」のプライマリリフレッシュトークンを見る方法はありません。デバイスに登録されているユーザーワークアカウントごとに1つずつ、複数のプライマリリフレッシュトークンを発行できます。

An issued primary refresh token is good for two weeks (14 days) and continuously renewed every 4 hours as long as the related user is active on

発行されたプライマリリフレッシュトークンは、2週間（14日）に適しており、関連するユーザーがアクティブである限り、4時間ごとに継続的に更新されます