Microsoftに信頼された「サイバー攻撃者」ってどういうこと？

Microsoftの認証を不正に使ってEDRの検知をすり抜けた脅威が見つかった。スマートフォンを攻撃されると、二段階認証が無効になる。どうしてこのような攻撃が起こったのだろうか。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティを専門とするSentinelOneとMandiantの調査によると、サイバー攻撃者は新たな武器を手に入れて活発に活動しているという。

EDRもお手上げの攻撃手法とは？

　サイバー攻撃者は「新たな武器」を使って、どのようにしてMicrosoftの裏をかいたのだろうか。

　その武器とはMicrosoftの正規署名付きドライバだ。EDR（Endpoint Detection and Response）の検知を逃れてしまうため、複数の企業に対して攻撃が仕掛けられている。

　研究者はアンチウイルスやEDRを停止させることができる小さなツールキットの一部である「Poortry」や「Stonestop」マルウェアも発見した。

　Microsoftは2022年12月12日のアドバイザリーで公式見解を述べた（注1）。今回の攻撃活動は幾つかの開発者プログラムアカウントの悪用に限定されるという。Microsoftはこれらのパートナーに関連するセラーアカウントを停止し、ブロッキング検知を導入することで攻撃に対応した。

　セキュリティ製品による防御をすり抜けるために、攻撃者がMicrosoftの署名が付いた悪意のあるドライバ（注2）を不正に使っていることに気付いたのはSentinelOneだ。同社によると、このドライバは標的となったエンドポイントで自由に悪事を働く。さまざまなプロセスを制御したり、一時停止したり、強制終了したりできるからだ。

　SentinelOneによると、攻撃者がSIMスワップ攻撃を仕掛けたケースは数多くあるという。この攻撃では被害者のスマートフォンの通信キャリアに対して、攻撃者のSIMカードを有効化するようだます。攻撃者は被害者の電話番号を自由に使えるようになり、二段階認証のメール通知や電話を攻撃者のスマートフォンで受けることが可能になる。こうして、認証が突破されてしまうというわけだ。

　2022年に起こった攻撃は電気通信業界とビジネスプロセスアウトソーシング業界に集中した。その他、マネージドセキュリティサービスプロバイダーや金融サービス、エンターテインメントなどの業界も標的となっていた。

　別の攻撃者はMicrosoftの署名付きドライバを使用して、医療業界のターゲットに対してランサムウェアの一種「HIVE」を利用したことが確認された。HIVEには欧州最大級の家電量販店Media Marktのサーバを停止させた前科がある

Microsoftの構成証明書署名技術を悪用

　この攻撃を発見した経緯について、SentinelOneの研究員ブライアン・バーソロミュー氏は電子メールで次のように伝えた。

　「この危険なドライバは、被害を受けた企業でエンドポイント保護を無効化するための試みに利用されている。悪意のあるツールを分析した結果、悪意のあるコンポーネントがMicrosoftによって正式に署名されており、セキュリティチェックを回避できることから、この問題の重大性に気付いた」

　Mandiantの研究者によると、これらの異なるマルウェアファミリー（注3）は、それぞれ異なる攻撃者グループに関連しており、「Windows 10」の「構成証明書署名」と呼ばれる技術を用いていた。この技術を使えば、攻撃者はMicrosoftから「信頼される」。

　「UNC3944」と特定された金銭的動機のある攻撃者グループが、署名されたマルウェアを展開したと、Mandiantは言う。このグループは、少なくとも2022年5月から活動しており、SMSフィッシングの操作によって盗んだ認証情報を使用している。

出典：Threat actors abuse legitimate Microsoft drivers to bypass security（Cybersecurity Dive）

注1：Guidance on Microsoft Signed Drivers Being Used Maliciously

注2：Driving Through Defenses | Targeted Attacks Leverage Signed Malicious Microsoft Drivers

注3：I Solemnly Swear My Driver Is Up to No Good: Hunting for Attestation Signed Malware