盗まれたMicrosoft幹部のメール サイバー攻撃者はどうやって防壁を破ったのか？

厳重なセキュリティに守られているはずのMicrosoftがサイバー攻撃を受けて、個人情報が流出した。何が起こったのだろうか。

[David Jones，Cybersecurity Dive]

　Microsoftが2024年1月19日に証券取引委員会（SEC）に提出した書類（注1）によれば攻撃は次のようにして進んだ。

どうやってMicrosoftの防御を破ったのか

　Microsoftが提供するサービスの本番環境は守りが固い。そこで攻撃者は脇道を選んだ。

　狙われたのは旧式の非本番テスト用テナントアカウントだ。これは製品の開発やテスト、評価で使われる環境にアクセスするためのアカウントだ。

　後述する手法を用いて攻撃者はこのアカウントを侵害し、アカウントのアクセス権限を使用して上級幹部やサイバーセキュリティ部門、法務部門などの従業員の電子メールと添付ファイルの一部にアクセスした。

　今回Microsoftを攻撃したのは、国家と関連する脅威グループ「Midnight Blizzard」（旧称：Nobelium）だ。

　Midnight Blizzardは、SolarWindsなどの企業に対する2020年のSunburst攻撃にも関連する。米国当局は2023年12月に、同グループが世界中の「JetBrains TeamCity」サーバの未修正の脆弱（ぜいじゃく）性を悪用しているのを発見したため、警告を発した（注2）。

Microsoftのセキュリティは大丈夫なのか

　セキュリティ研究者やアナリストによると、今回の攻撃が成功したことで「Microsoft製品のセキュリティは十分なのか」「同社が顧客に対して要求している基準とMicrosoft社内の基準が異なるのではないか」という疑問が生じたという。

　2023年11月下旬から、攻撃者はパスワードスプレー攻撃を使ってMicrosoftの環境にアクセスを継続していた。攻撃がようやく見つかったのは2024年1月12日のことであり、攻撃者はMicrosoftがMidnight Blizzardに関してどのような情報を持っているのかを探ろうとしていたという。

　サイバーセキュリティ事業を営むCrowdStrikeのアダム・マイヤーズ氏（対抗作戦を担当するシニアバイスプレジデント）は「近年、Microsoftはクラウド環境を標的にした深刻な攻撃の対象になっている」と指摘した。2023年に起こった米国務省と商務省の数千通の電子メールに関わるハッキング（注3）がその一例だ。

　マイヤーズ氏は「セキュリティ企業に勤めている私が言えるのは、当社の幹部は多要素認証を備えていない旧式のテナントを使用していないことだ」と述べた。裏を返せば、Microsoftの旧式のテナントは多要素認証を用いていなかったためにパスワードスプレー攻撃に敗れた可能性がある。

　Microsoftは2024年1月19日のブログ投稿で、2023年11月にSecure Future Initiativeを発表した後（注4）、社内のセキュリティ対策を迅速に変更する必要があることを認めた。

　「変更が既存のビジネス慣習に支障を来す可能性があるとしても、当社の所有する旧式のシステムや社内のビジネスプロセスに現行のセキュリティ基準を適用するために直ちに行動を起こす」（Microsoft）（注5）。

出典：Microsoft to overhaul internal security practices after Midnight Blizzard attack（Cybersecurity Dive）
注1：Microsoft Corporation（SEC）
注2：State-linked cyber actors behind SolarWinds plant seeds for new malicious campaign（Cybersecurity Dive）
注3：Microsoft offers free security logs amid backlash from State Department hack（Cybersecurity Dive）
注4：Microsoft overhauls cyber strategy to finally embrace security by default（Cybersecurity Dive）
注5：Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard（Microsoft）