米国政府からメールを盗み出す Microsoftアカウントを利用

Microsoftアカウントを利用したサイバー攻撃が発生し、米国政府高官のメールが盗まれた。

[David Jones，Cybersecurity Dive]

　MicrosoftはMicrosoftアカウントを利用した攻撃グループによる情報漏えいについて調査をまとめ、対策を講じた。

どのような攻撃なのか

　Microsoftによれば、今回の攻撃は脅威アクター「RomCom」（別名Storm-0558）として知られるグループによるものだ。2023年7月14日に同社が発表した分析によれば、世界の22の組織に対する標的型攻撃が起こり、不正アクセスに至った。

　攻撃者は非アクティブなMicrosoftアカウント（MSA）の署名キーと偽造トークンを入手し（注1）、これを攻撃に使った。

　米国国務省も標的になり、国務省長官のジーナ・ライモンド氏のメールが盗まれたという。

　Microsoftは署名キーの発行システムを強化し、以前有効だった全てのキーを無効化した。その後、更新されたシステムを使用して新しいキーを発行した。このアップグレード対策の結果、攻撃者はこれ以上同じ手法でMSAのキーを取得できなくなったという。その一方で、攻撃者は異なる技術を使って再度攻撃を試みている。

各国の多様な業界に攻撃を仕掛けるRomCom

　FBIと米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年7月14日（注2）、Microsoftの調査結果を盛り込んだ脅威活動に関する最新のガイダンスを発表した。両機関は組織に対して、監査ログの有効化とクラウド環境の強化を促した。

　IT分野に関する調査と助言を担当するGartnerのピーター・ファーストブルック氏（アナリスト）は「今回の攻撃は、攻撃者が認証を得るためにアイデンティティーシステムを標的にした一例だ」と述べた。

　中国に拠点を置くRomComは、近年、欧州や米国の外交や経済、立法機関を標的にして活動中だ。Microsoftによると、このグループはメディア企業やシンクタンク、通信機器事業者、サービスプロバイダーも標的にする。

　Microsoftによると、攻撃のほとんどはクレデンシャルハーベスティングやフィッシング、OAuthトークンを使って従業員のメール盗難するものだった。過去の攻撃キャンペーンでは、「China Chopper」と呼ばれるWebシェルが侵害済みのサーバに配置されて使われていた。

　この攻撃者は以前、「Cigril」という名前のマルウェアファミリーを展開していたことが知られている（注3）。

Microsoftの対策は？

　Microsoftは、今後の攻撃から顧客を守るために、2023年6月下旬から以下のような幾つかの措置を講じた。

・2023年6月26日　GetAccessTokensForResourceによって発行されたトークンの更新を「Outlook Web Access」が受け付けないようにした
・2023年6月27日　MicrosoftはOutlook Web Accessにおいて取得されたMSAキーで署名されたトークンの使用をブロックして、攻撃者によるメールの活動を防止した
・2023年6月29日　Microsoftは攻撃者がトークンを偽造するために使用していたキーの交換作業を完了した
・2023年7月3日　Microsoftは影響を受けた全ユーザーについてキーの使用をブロックした

出典：Microsoft hardens key issuance systems after state-backed hackers breach Outlook accounts（Cybersecurity Dive）

注1：Analysis of Storm-0558 techniques for unauthorized email access（Microsoft）

注2：Enhanced Monitoring to Detect APT Activity Targeting Outlook Online（CISA）

注3：Microsoft Security Intelligence（Microsoft）